Monederos Web3 atacados por piratas informáticos chinos; SeaFlower usa sitios web clonados para engañar a los comerciantes de criptomonedas

Downloads

Se identificó a un grupo de piratas informáticos de China utilizando un método técnicamente simple pero efectivo para robar dinero de las billeteras Web3: distribuir versiones modificadas con agujeros programados en ellas. Los piratas informáticos chinos clonaron las páginas de distribución de billeteras legítimas y engañaron a los usuarios para que descargaran una versión comprometida.

Los investigadores de la empresa de seguridad de publicidad digital Confiant descubrieron y rastrearon las actividades del actor de amenazas, caracterizándolas como una operación “sofisticada”. Los piratas informáticos chinos tienen como objetivo principal encontrar un grupo específico de billeteras Web3, centrándose en los usuarios de iOS y Android.

Hackers chinos lanzan clones de wallets, presentación y código “idénticos” (excepto backdoors)

Los piratas informáticos chinos han tenido éxito con este enfoque principalmente debido a la atención al detalle, tanto en la clonación de los sitios web oficiales de las billeteras Web3 como en el código real de la billetera. La única diferencia con el proceso de descarga legítimo y la experiencia del usuario es la inyección de un código de puerta trasera, que les permite desviar los fondos de las víctimas.

Dado el apodo de Confiant “SeaFlower”, la identidad del grupo aún no está clara, pero hay muchas pistas que los ubican en China. Los nombres de usuario de macOS chinos se han vinculado a la actividad del grupo, el código de puerta trasera contiene algunos comentarios en chino, ciertos marcos utilizados son comunes en la comunidad de piratería china y originados por programadores chinos, y varios elementos de la infraestructura de ataque están vinculados a China continental y Hong Kong. Direcciones IP de Kong asociadas a Kong. El grupo también utiliza sitios de ataque que están en su mayoría en chino e inglés, y también tiene un fuerte enfoque en atraer tráfico de motores de búsqueda chinos.

Los piratas informáticos chinos actualmente apuntan a cuatro tipos de billeteras Web3: Coinbase Wallet, imToken, MetaMask y Token Pocket. Los atacantes tienen como objetivo las versiones de iOS y Android de estas billeteras. Los investigadores de Confiant enfatizan que las versiones legítimas de estas billeteras son completamente seguras y no tienen ninguna vulnerabilidad; El truco consiste en evitar las descargas corruptas cuando utiliza motores de búsqueda para encontrarlas.

El código que los piratas informáticos chinos agregaron a sus versiones falsas de las billeteras Web3 utiliza varias técnicas de escalada diferentes para extraer la frase inicial del usuario, la frase de recuperación necesaria para acceder a ella si se pierde la versión física. Se utilizan diferentes enfoques para diferentes billeteras Web3, pero el código malicioso tiende a captar la frase inicial justo después de que el usuario la ingresa durante la configuración de la billetera.

La estafa se reveló al descifrar y monitorear el tráfico HTTPS de las aplicaciones mientras estaban en uso; Se puede observar que se conectan a versiones falsificadas de dominios legítimos asociados con cada billetera, generalmente con una ortografía ligeramente diferente del nombre legítimo (por ejemplo, “metanask” en lugar de metamask). La frase semilla, el número de billetera y los fondos se sacan de contrabando durante esta comunicación.

Sitios oficiales de descarga de monederos Web3 “perfectamente” clonados

Si bien el elemento de puerta trasera es necesario, lo que realmente hace que el ataque funcione son los clones idénticos de los sitios de descarga legítimos.

Las URL son el único elemento que no siempre se clona cuidadosamente, pero generalmente tienen alguna relación con las billeteras Web3 legítimas (como “appim.xyz” para imToken y “som-coinbase.com” para la billetera Coinbase). Los atacantes también parecen utilizar técnicas de optimización de motores de búsqueda para clasificarse alto en ciertos resultados, particularmente en Baidu (donde los sitios atacantes a veces descifran los 10 primeros resultados para ciertas frases de búsqueda comunes relacionadas con la descarga de aplicaciones).

El ataque requiere transferencia lateral, que es mucho más común (y más fácil de hacer) en Android. Los piratas informáticos chinos parecen haber trabajado mucho más para obtener acceso a los usuarios de iOS más protegidos. Esto incluye perfiles de aprovisionamiento (que desde entonces han sido informados a Apple y Apple los ha eliminado). Los investigadores también notaron que el código malicioso de iOS estaba mucho más profundo y mejor ofuscado que los elementos encontrados en las versiones de la aplicación de Android.

Este ataque a las billeteras Web3 es parte de una tendencia más amplia de actividad de piratería criminal centrada en las transacciones criptográficas. Intentar piratear o engatusar la frase semilla de un objetivo parece ser el método más popular, y en los últimos meses han aparecido en los mercados clandestinos kits de phishing diseñados para atacantes menos calificados.

Chris Olson de The Media Trust señala que las defensas cibernéticas no necesariamente siguen el ritmo de este desarrollo: “Las criptomonedas se están convirtiendo rápidamente en un campo de batalla para los actores cibernéticos globales que apuntan a los poseedores de criptomonedas a través de múltiples canales. Si bien muchos se están dando cuenta de los peligros de las estafas de phishing basadas en correo electrónico, pocos están preparados para los ataques de SEO y basados ​​en la web que tienen como objetivo el tráfico web y los usuarios de dispositivos móviles. Además de alentar la precaución de los usuarios de NFT y criptografía, este incidente tiene tres implicaciones: en primer lugar, Internet y los dispositivos móviles se están convirtiendo cada vez más en superficies de amenazas; en segundo lugar, los actores extranjeros pueden utilizar estas superficies para atacar a usuarios de todo el mundo. Después de todo, a menos que los primeros en adoptar la tecnología se comprometan con estándares mínimos de seguridad y confianza digital, Web3 puede ser vulnerable a las mismas amenazas que hicieron que la Web 2.0 fuera insegura durante años”.

Los ataques a las billeteras #Web3 son parte de una tendencia más amplia de actividad #ciberdelincuente centrada en las #criptotransacciones. Tratar de piratear o persuadir a un objetivo para obtener la frase semilla parece ser el método más popular. #ciberseguridad #respetar los datosHaz clic para twittear

Todas las aplicaciones abusadas en este ataque todavía se pueden descargar y usar de forma segura desde sus fuentes oficiales. Sin embargo, dada la capacidad de los atacantes para envenenar los resultados de búsqueda, se requiere mayor precaución al identificar estos sitios de descarga. Bitcoin.com mantiene una lista de billeteras con enlaces directos a sus sitios web auténticos, y muchas de estas billeteras también se encuentran en las tiendas de aplicaciones oficiales de Apple y Android y se pueden encontrar allí a través de una búsqueda directa. Si es necesario realizar una búsqueda en el navegador web para una billetera específica, puede ser conveniente ejecutar la URL que aparece en una búsqueda secundaria para asegurarse de que realmente pertenece a la empresa legítima.

Leave a Reply

Your email address will not be published.