🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
Leia mais
Categoria:
Inteligência do adversárioIndústria:
Finanças e bancosMotivação:
FinanceiroRegião:
GlobalFonte*:
C3
Anúncio do ator ameaçador [/caption]
Logotipo da MetaMask [/legenda]
Representação pictórica do processo de roubo [/caption]
Vários agentes de ameaças anunciando os serviços de drenagem da MetaMask em fóruns de crimes cibernéticos
E-mails falsos usados por atores para atrair a vítima às páginas de phishing da MetaMask
[caption id="attachment_20916" align="alignnone” width="896"]
Histórico de transações da carteira do ator [/caption]
[caption id="attachment_20917" align="alignnone” width="1056"]
Imagens de amostra compartilhadas pelo agente da ameaça [/caption]
[caption id="attachment_20918" align="alignnone” width="1176"]
Imagens de amostra compartilhadas pelo agente da ameaça [/caption]
[caption id="attachment_20919" align="alignnone” width="1045"]
Imagens de amostra compartilhadas pelo agente da ameaça [/caption]
[caption id="attachment_20920" align="alignnone” width="469"]
Imagem de amostra compartilhada pelo agente da ameaça mostrando o log [/caption]
[caption id="attachment_20921" align="alignnone” width="1152"]
Imagem de amostra do script compartilhada pelo ator da ameaça [/caption]
[caption id="attachment_20922" align="alignnone” width="1280"]
Imagem de amostra de um site falso compartilhada pelo agente da ameaça [/caption]
[caption id="attachment_20923" align="alignnone” width="1821"]
Histórico de transações da carteira do agente da ameaça [/caption]
Sumário executivo
AMEAÇAIMPACTOMITIGAÇÃO- Escorredor privado para Metamask, que é capaz de transferir criptomoedas da carteira da vítima para a carteira do atacante.
- Perda de fundos, tokens e criptomoedas.
- Perda de reputação e confiança da marca MetaMask.
- Não compartilhe sua frase secreta de recuperação.
- Não faça login nem conecte sua carteira no site.
Análise e atribuição
Informações do Post
- CloudSEKda plataforma contextual de risco digital de IA XV Vigília descobriu um agente de ameaças anunciando um dreno privado para a MetaMask, que pode transferir a criptomoeda da carteira da vítima para a carteira do atacante.
- O agente da ameaça estava oferecendo o serviço de drenagem por USD 1.500.
- Os seguintes serviços são oferecidos à venda:
- Arquivo Drainer
- Software para anular tokens/NAT
- Enviando registros para o Telegram
- Suporte de instalação para escorredor
- O script verifica as carteiras das três redes a seguir:
- Rede principal Ethereum (ERC)
- Rede principal da cadeia inteligente Binance (BSC)
- Rede principal do Polygon (Polygon)
Anúncio do ator ameaçador [/caption]
Informações sobre MetaMask
- A MetaMask é uma carteira de criptomoeda de software usada para interagir com o blockchain Ethereum.
- Ele permite que os usuários acessem sua carteira Ethereum por meio de uma extensão de navegador ou aplicativo móvel, que pode então ser usado para interagir com aplicativos descentralizados.
- O MetaMask suporta todos os tipos de tokens (token regular, NFT ou não fungível).
Logotipo da MetaMask [/legenda]
Informações sobre o Drainer
- A vítima será redirecionada para o site falso de phishing, onde será solicitado que ela se conecte à carteira MetaMask.
- O script verificará o custo de tudo o que está disponível na carteira (dinheiro, tokens, NFT) nas três redes (ERC, BSC, Polygon).
- O script sugere fazer uma aprovação (ou permitir o acesso a tokens ou NFT) ou enviar uma moeda. Quando a pessoa clica para permitir isso, um software separado rouba a finalidade da aprovação.
- O drenador privado transfere a criptomoeda da carteira da vítima para a carteira do atacante.
- O drenador enviará todos os registros de atividades ao atacante via Telegram e notificará sobre os tokens e as transações aprovadas.
- O drenador não exige uma assinatura adicional para autenticar a transação, o que geralmente é exigido ao enviar tokens, NFTs ou moedas.
Representação pictórica do processo de roubo [/caption]
Informações de uma fonte confidencial
Uma fonte confidencial em contato com o agente da ameaça constatou que:- O ator compartilhou uma amostra de vídeo que demonstrou o processo de transferência de um token da carteira da vítima para a carteira do atacante.
- O vídeo também revelou os endereços das carteiras do ator e da vítima.
- É possível que os endereços de carteira associados sejam carteiras fictícias usadas pelo agente da ameaça.
Informações de fóruns de crimes cibernéticos
- Vários agentes de ameaças foram observados oferecendo serviços de script semelhantes para roubar os tokens das carteiras.
- Os seguintes tipos de drenadores de tokens foram anunciados para a MetaMask:
- Escorredor com uma assinatura
- Escorredor com assinatura e transferência automática
- Escorredor para cancelar toda a cripta
Informações da OSINT
- Os pesquisadores da CloudSEK observaram várias campanhas de phishing direcionadas aos clientes e usuários da MetaMask sob o pretexto de concluir o KYC ou verificar a carteira.
- Os agentes da ameaça usam a ajuda de e-mails para prender a vítima e direcioná-la aos sites falsos de phishing incorporados a scripts e drenadores.
- Também foi observado que um agente de ameaças de origem chinesa chamado “SeaFlower” estava usando o site clonado do MetaMask para atrair as vítimas a baixarem uma versão trojanizada do MetaMask para roubar o saldo e os tokens da carteira.
Atividade e classificação do ator de ameaças
Perfil do ator de ameaçasAtivo desde setembro de 2022ReputationBaixa (várias reclamações e preocupações no fórum) Status atualActiveHistoryLidando com um dreno privado para metamaskClassificação C3 (C: Razoavelmente confiável; 3: Possivelmente verdadeiro)Impacto e mitigação
ImpactoMitigação- Perda de fundos, tokens e criptomoedas.
- Perda de reputação e confiança da marca MetaMask.
- Informações confidenciais, como frases secretas de recuperação e detalhes da carteira, podem ser usadas pelos agentes de ameaças para obter acesso à carteira.
- Não compartilhe frases secretas de recuperação.
- Não faça login nem conecte sua carteira no site.
- Considere comprar uma carteira de hardware.
- Fique atento ao verificar a legitimidade do site.
Referências
- *Fonte de inteligência e confiabilidade da informação - Wikipedia
- #Protocolo de semáforo - Wikipedia
- MetaMask - Wikipédia
Apêndice
Vários agentes de ameaças anunciando os serviços de drenagem da MetaMask em fóruns de crimes cibernéticosE-mails falsos usados por atores para atrair a vítima às páginas de phishing da MetaMask
[caption id="attachment_20916" align="alignnone” width="896"] Histórico de transações da carteira do ator [/caption]
[caption id="attachment_20917" align="alignnone” width="1056"] Imagens de amostra compartilhadas pelo agente da ameaça [/caption]
[caption id="attachment_20918" align="alignnone” width="1176"] Imagens de amostra compartilhadas pelo agente da ameaça [/caption]
[caption id="attachment_20919" align="alignnone” width="1045"] Imagens de amostra compartilhadas pelo agente da ameaça [/caption]
[caption id="attachment_20920" align="alignnone” width="469"] Imagem de amostra compartilhada pelo agente da ameaça mostrando o log [/caption]
[caption id="attachment_20921" align="alignnone” width="1152"] Imagem de amostra do script compartilhada pelo ator da ameaça [/caption]
[caption id="attachment_20922" align="alignnone” width="1280"] Imagem de amostra de um site falso compartilhada pelo agente da ameaça [/caption]
[caption id="attachment_20923" align="alignnone” width="1821"] Histórico de transações da carteira do agente da ameaça [/caption]
