Ciberdelincuentes están evadiendo la autenticación multifactor en cuentas de Coinbase y MetaMask
Ciberdelincuentes están llevando a cabo una campaña de phishing para evadir la autenticación multifactor y obtener acceso a cuentas en Coinbase, MetaMask, Crypto.com y KuCoin y robar criptomonedas.
Los ciberdelincuentes están abusando del servicio de aplicaciones web de Microsoft Azure para alojar una red de sitios de phishing y atraer a las víctimas a través de mensajes de phishing que se hacen pasar por solicitudes de confirmación de transacciones falsas o detección de actividades sospechosas.
Por ejemplo, uno de los correos electrónicos de phishing vistos en los ataques pretendía ser de Coinbase. El correo afirma que bloquearon la cuenta debido a actividades sospechosas.
Cuando los objetivos visitan el sitio de phishing, se les presenta una ventana de chat supuestamente para ‘atención al cliente’. La ventana está controlada por un estafador que dirige a los visitantes a través de un proceso de fraude de varios pasos.
PIXM ha estado rastreando esta campaña desde 2021 cuando el grupo de amenazas apuntó solo a Coinbase. Recientemente, los analistas de PIXM notaron una expansión en el alcance de la orientación de la campaña para incluir MetaMask, Crypto.com y KuCoin.
Evadiendo 2FA
La primera fase del ataque en los sitios falsos de phishing de criptointercambio implica un formulario de inicio de sesión falso seguido de un aviso de autenticación de dos factores.
Independientemente de las credenciales ingresadas durante esta etapa, los ciberdelincuentes aún las robarán. Luego, la página pasa a un mensaje que solicita el código 2FA necesario para acceder a la cuenta.
Los atacantes prueban las credenciales ingresadas en el sitio web legítimo, lo que activa el envío de un código 2FA a la víctima, quien luego ingresa un 2FA válido en el sitio de phishing.
Luego, los ciberdelincuentes intentan usar el código 2FA ingresado para iniciar sesión en la cuenta de la víctima siempre que actúen antes de que se agote el tiempo.
Cabe señalar que los ataques de phishing de MetaMask tienen como objetivo frases de recuperación, en lugar de credenciales o códigos 2FA.
Chateando con estafadores
Independientemente de si un código 2FA funciona, los investigadores dicen que los estafadores desencadenan la siguiente etapa del ataque, que es iniciar el soporte de chat en pantalla.
Esto se hace mostrando un mensaje de error falso que indica que la cuenta ha sido suspendida debido a una actividad sospechosa. Asimismo, le piden al visitante que se comunique con el soporte para resolver el problema.
En este chat de soporte, los ciberdelincuentes inician una conversación con la víctima objetivo para mantenerlos cerca en caso de que se necesiten diferentes credenciales, frases de recuperación o códigos 2FA para que los actores de amenazas inicien sesión en la cuenta.
“Le solicitan al usuario su nombre de usuario, contraseña y código de autenticación de 2 factores directamente en el chat”.
“El delincuente luego llevará esto directamente a un navegador en su máquina y nuevamente intenta acceder a la cuenta de los usuarios”.
Explicación en el informe de PIXM.
Para las cuentas vulneradas con éxito, la víctima aún está comprometida con la atención al cliente en caso de que necesite confirmar las transferencias de fondos mientras los delincuentes vacían sus billeteras.
Sin embargo, para las cuentas que no pueden vulnerar a través del chat de soporte, los atacantes cambian a un método alternativo para autenticar su dispositivo como “confiable” para la plataforma de criptomonedas.
Engaño remoto
Para superar el obstáculo del dispositivo autenticado, los atacantes convencen a la víctima para que descargue e instale la aplicación de acceso remoto ‘TeamViewer’.
Luego, los estafadores les piden a las víctimas que inicien sesión en su billetera de criptomonedas o en sus cuentas de exchange y mientras lo hacen, los atacantes agregan un caracter aleatorio en el campo de contraseña para provocar una falla de inicio de sesión.
Finalmente, el atacante le pide a la víctima que pegue la contraseña en el chat de TeamViewer. Él usa la contraseña (menos el caracter aleatorio) para iniciar sesión en su dispositivo y luego intercepta el enlace de confirmación del dispositivo enviado a la víctima para autenticar su dispositivo como confiable.
Una vez que obtienen acceso a la cuenta o billetera, los atacantes drenan todos los fondos mientras mantienen a la víctima involucrada en el chat de soporte.
Contramedidas
Para evitar ser estafado en ataques como estos, es fundamental prestar atención siempre a la dirección de correo electrónico del remitente y las URLs enviadas.
Si estas URLs no coinciden con la plataforma de criptomonedas, debes tratar inmediatamente el correo electrónico como sospechoso y eliminarlo.
Por ejemplo, si recibes un correo electrónico de cualquier exchange o billetera de criptomonedas, siempre tendrá el dominio real de la organización en la dirección del remitente. Por ejemplo, si proviene de coinbase, el correo electrónico siempre provendrá de “[email protected]” o “[email protected]“. Ningún exchange o billetera de criptomonedas se comunicará contigo desde ninguna dirección de correo electrónico que no contenga su dominio auténtico.
Debido a los enfoques cada vez más creativos para crear dominios similares que emplean los atacantes, también recomendamos que no hagas clic en un enlace a un portal de inicio de sesión, incluso si el enlace parece legítimo (a menos que hayas iniciado una transacción o un restablecimiento de contraseña desde alguna plataforma). Si se te solicita que te autentiques, por ejemplo, en Coinbase, debes abrir una nueva pestaña o ventana del navegador, navegar manualmente a coinbase.com y acceder a tu cuenta a través de su portal de inicio de sesión estándar.
Desafortunadamente, si caes en una de estas estafas, no hay nada que un exchange de criptomonedas pueda hacer para recuperar tus fondos una vez que se envían desde tu billetera.
