Ciberdelincuentes están usando Azure y Google Sites para robar criptomonedas
Una nueva campaña de phishing a gran escala dirigida a los usuarios de Coinbase, MetaMask, Kraken y Gemini está usando Google Sites y la aplicación web de Microsoft Azure para crear sitios fraudulentos.
Estas páginas de phishing se promocionan a través de comentarios publicados en sitios legítimos por una red de bots controlados por los ciberdelincuentes. La publicación de enlaces a páginas de phishing en varios sitios legítimos tiene como objetivo aumentar el tráfico y aumentar la clasificación del sitio malicioso en el motor de búsqueda de Google.
Además, debido a que los sitios de phishing están alojados en los servicios de Microsoft y Google, no son marcados por sistemas moderadores automáticos. En otras palabras, esto permite que los mensajes promocionales permanezcan en la sección de comentarios por más tiempo.
La nueva campaña fue detectada por analistas de Netskope, quienes señalaron que esta táctica ha permitido que algunos de los sitios fraudulentos aparezcan como el primer resultado en las búsquedas de Google.
Peor aún, como se muestra a continuación, Google también ha incluido las páginas de phishing como fragmentos destacados. Esto les da la mayor exposición posible en los resultados de búsqueda.
Abusando de servicios legítimos
Google Sites es una herramienta gratuita de creación de páginas web, parte del conjunto de servicios en línea de Google. En términos sencillos, permite a los usuarios crear sitios web y alojarlos en Google Cloud u otros proveedores.
De manera similar, la aplicación web de Azure de Microsoft es una plataforma que ayuda a los usuarios a crear, implementar y administrar aplicaciones web y sitios web.
Ambos servicios cuentan con la confianza de las herramientas de seguridad de Internet, ofrecen precios competitivos y alta disponibilidad. En otras palabras, son una buena opción para crear páginas de phishing.
Los ladrones de la campaña vistos por Netskope crearon sitios que imitaban a Metamask, Coinbase, Gemini y Kraken, apuntando a las billeteras de las personas y sus activos.
Los sitios son solo páginas de destino y sus visitantes son redirigidos a los sitios de phishing reales cuando hacen clic en los botones de “iniciar sesión”.
Apuntando a billeteras y servicios
La campaña de phishing actualmente intenta robar las billeteras y credenciales de MetaMask para exchanges de criptomonedas, como CoinBase, Kraken y Gemini.
El sitio de phishing MetaMask intenta robar la contraseña del usuario y la frase de recuperación secreta de la billetera (frase semilla). Esta información le permite al atacante importar la billetera en sus propios dispositivos y vaciar el contenido.
Para las páginas de phishing de exchanges de criptomonedas, los atacantes intentan robar las credenciales de inicio de sesión.
En los cuatro casos, los usuarios que ingresan sus credenciales son redirigidos a una página falsa de 2FA (autenticación de dos factores) que solicita a la víctima que proporcione su número de teléfono.
Después de ingresar el código, los sitios web generan un error falso que alega actividad no autorizada y problemas de autenticación. El falso error incita a la víctima a hacer clic en el botón “Preguntar a un experto”.
Esto lleva a las víctimas a una página de chat en línea donde un estafador que finge ser un agente de atención al cliente promete resolver el problema indicándole a la víctima que instale la herramienta de acceso remoto TeamViewer.
Es probable que el acceso remoto permita a los atacantes recuperar los códigos de autenticación de múltiples factores necesarios para iniciar sesión en los exchanges con las credenciales robadas.
No te dejes engañar
Los atacantes intentan constantemente robar billeteras y cuentas de criptomonedas con páginas de phishing elaboradas, imitando los sitios web reales, usando errores tipográficos para que la página parezca real e incluso interactuando con las víctimas a través de un chat web en vivo.
Cuando intentas iniciar sesión en un exchange de criptomonedas, siempre asegúrate de estar en el sitio web oficial de la plataforma y no en una página clonada.
Los atacantes abusan de Google Sites y Azure Web App para alojar las páginas, probablemente debido al costo, la facilidad de uso y para aumentar ligeramente la confianza de la víctima.
Los usuarios de billeteras de criptomonedas instaladas localmente, como MetaMask, Phantom y TrustWallet, nunca deben compartir su frase de recuperación en ningún sitio web, independientemente del motivo.
También es importante recordar que se puede abusar de los anuncios de Google y que se puede manipular el SEO de la Búsqueda de Google. En otras palabras, la clasificación de los resultados no debe verse como una garantía de seguridad.
Finalmente, debes proteger tus cuentas de exchanges de criptomonedas con MFA y mantener la mayoría de tus inversiones en criptomonedas en billeteras frías que son mucho más difíciles de hackear.
Para las organizaciones, también recomendamos utilizar una puerta de enlace web segura, capaz de detectar y bloquear el phishing en tiempo real.