Los actores de amenazas están sorteando la autenticación de dos factores (2FA) y utilizando otras tácticas de evasión inteligentes en una campaña de phishing recientemente observada destinada a apoderarse de las cuentas de Coinbase para defraudar a los usuarios de sus saldos criptográficos.

Los atacantes están utilizando correos electrónicos que falsificaron el popular criptomoneda intercambio para engañar a los usuarios para que inicien sesión en sus cuentas para que puedan acceder a ellas y robar los fondos de las víctimas, investigadores de Software PIXM han encontrado.

"Por lo general, distribuirán estos fondos a través de una red de cuentas 'quemadoras' de manera automatizada a través de cientos o miles de transacciones, en un esfuerzo por ocultar la billetera original de su billetera de destino", explicó el Equipo de Investigación de Amenazas de PIXM en una entrada de blog publicado el jueves. Coinbase es una plataforma de intercambio de criptomonedas que cotiza en bolsa y existe desde 2012. Podría decirse que es una de las la mayoría de los principales intercambios de cifrado, con más de 89 millones de usuarios, y así un objetivo atractivo para los ciberdelincuentes.

Tácticas inteligentes de evasión

Los atacantes emplean una variedad de tácticas para evitar la detección, incluida una que los investigadores llaman "dominios de corta duración", en los que los dominios utilizados en el ataque "permanecen vivos durante períodos de tiempo extremadamente cortos", que se desvía de las prácticas típicas de phishing, escribieron los investigadores.

“Nuestras estimaciones sitúan la mayoría de las páginas disponibles en Internet durante menos de dos horas”, lo que en algunos casos ni siquiera permitió a los investigadores de PIXM realizar los análisis forenses deseados una vez que se les alertó de un ataque.

Esto, entre otras técnicas como la conciencia del contexto y la retransmisión de dos factores, permite a los atacantes "evitar que las miradas indiscretas hurguen en su infraestructura de phishing", señalaron los investigadores.

La conciencia del contexto en particular es una táctica sigilosa porque, al igual que los dominios de corta duración, dificulta que los investigadores de seguridad realicen un seguimiento después del hecho ofuscando las páginas de phishing, según PIXM.

Esta táctica permite a los adversarios conocer la IP, el rango CIDR o la ubicación geográfica desde la que anticipan que se conectarán su objetivo u objetivos. Luego, pueden crear algo como una Lista de control de acceso (ACL) en la página de phishing para restringir las conexiones para que solo se permitan desde la IP, el rango o la región de su objetivo previsto, dijeron los investigadores.

“Incluso si una de estas páginas se detectara o informara dentro de la ventana de pocas horas en que el sitio está activo, un investigador tendría que falsificar las restricciones establecidas en la página para poder acceder al sitio”, escribieron los investigadores.

Phishing para apropiación de cuenta

Los ataques comienzan con actores que se dirigen a los usuarios de Coinbase con un correo electrónico malicioso que falsifica el cambio de moneda para que las víctimas potenciales piensen que es un mensaje legítimo.

El correo electrónico utiliza una variedad de razones para instar al usuario a iniciar sesión en su cuenta, alegando que se ha bloqueado debido a una actividad sospechosa o que se debe confirmar una transacción, dijeron los investigadores.

Como es típico con las campañas de phishing, si los usuarios siguen la directiva del mensaje, llegan a una página de inicio de sesión falsa y se les solicita que ingresen sus credenciales. Si eso sucede, el atacante recibe las credenciales en tiempo real y las usa para iniciar sesión en el sitio web legítimo de Coinbase.

Aquí es cuando los actores de amenazas emplean retransmisión de 2 factores en la estructura de ataque. para moverse el MFA integrado en la plataforma Coinbase, dijeron los investigadores.

La acción del atacante hace que Coinbase envíe un código 2FA a la víctima, quien cree que la notificación se solicitó al ingresar las credenciales en la página de inicio de sesión falsa. Una vez que el usuario ingresa el código 2FA en el sitio web falso, el atacante lo recibe de inmediato e inicia sesión en la cuenta legítima, obteniendo así el control de la cuenta.

Desvío de fondos a actores de amenazas

Una vez que el actor de la amenaza tiene acceso a la cuenta, procede a desviar los fondos del usuario a la red de cuentas antes mencionada a través de una multitud de transacciones en un esfuerzo por evadir la detección o generar sospechas.

"Estos fondos también se malversan a menudo a través de criptoservicios ilícitos en línea no regulados, como casinos de criptomonedas, aplicaciones de apuestas y mercados en línea ilegales”, agregaron los investigadores.

Mientras tanto, en este punto, la víctima involuntaria verá un mensaje que le informa que su cuenta ha sido bloqueada o restringida, similar al correo electrónico de phishing inicial que provocó toda la transacción maliciosa. Se les solicita que hablen con el servicio de atención al cliente para resolver el problema y aparece un cuadro de chat en la esquina derecha de la página para que lo hagan.

Este aviso es en realidad la segunda fase del ataque, en la que el actor de la amenaza se hace pasar por un empleado de Coinbase y ayuda a la persona a recuperar su cuenta, solicitando información personal y de la cuenta. Sin embargo, en realidad, los atacantes están ganando tiempo para poder completar la transferencia de fondos antes de que la víctima sospeche, dijeron los investigadores.

“Están utilizando esta sesión de chat para mantener al objetivo ocupado y distraído (de posibles correos electrónicos o mensajes de texto que puedan estar recibiendo de Coinbase cuando se inician las transferencias) mientras transfieren sus fondos”, escribieron.

Una vez que se completa la transferencia de fondos, el atacante cerrará la sesión de chat abruptamente y cerrará la página de phishing, dejando al usuario de Coinbase confundido y pronto se dará cuenta de que ha sido completamente defraudado, ellos dijeron.