Correo electrónico de Namecheap fue hackeado para enviar emails de phishing
La cuenta de correo electrónico del registrador de dominios Namecheap fue vulnerada el domingo por la noche, lo que provocó una avalancha de correos electrónicos de phishing de MetaMask y DHL. Estos correos intentaron robar la información personal de los destinatarios y las billeteras de criptomonedas.
Las campañas de phishing comenzaron alrededor de las 21:30 UTC y se originaron en SendGrid. SendGrid es una plataforma de correo electrónico utilizada históricamente por Namecheap para enviar avisos de renovación y correos electrónicos de marketing.
Después de que los destinatarios comenzaron a quejarse en Twitter, el CEO de Namecheap, Richard Kirkendall, confirmó que la cuenta estaba comprometida y que deshabilitaron el correo electrónico a través de SendGrid mientras investigaban el problema.
Kirkendall también dijo que creen que la infracción puede estar relacionada con un informe de CloudSek de diciembre sobre las claves API de Mailgun, MailChimp y SendGrid que estaban expuestas en las aplicaciones móviles.
Una avalancha de correos electrónicos
Los correos electrónicos de phishing enviados en esta campaña se hacen pasar por DHL o MetaMask.
El correo electrónico de phishing de DHL pretende ser una factura por una tarifa de envío requerida para completar la entrega de un paquete. Si bien no a todos los usuarios le ha llegado este correo electrónico, hasta donde sabemos, los enlaces incrustados conducen a una página de phishing que intenta robar la información del objetivo.
“Lamentamos informarte que tu paquete no pudo ser entregado en la fecha especificada, 02/12/2023. El paquete se encuentra actualmente en el almacén de DHL cerca de tu ciudad.
El motivo de la demora fue que el remitente no pagó las tarifas necesarias para la entrega. Para evitar que se devuelva el paquete, te pedimos que pagues la tarifa de 6.95 USD. Puedes rastrear tu paquete y pagar la tarifa haciendo clic en el botón de seguimiento”
Correo de Phishing de DHL
Phishing de Metamask
Otros usuarios han recibido el correo electrónico de phishing de MetaMask. Este correo pretende ser una verificación KYC (Conozca a su Cliente) requerida para evitar que se suspenda la billetera.
“Le escribimos para informarle que para continuar usando nuestro servicio de billetera, es importante obtener la verificación KYC (Know Your Customer). La verificación KYC nos ayuda a asegurarnos de que estamos brindando nuestros servicios a clientes legítimos”.
“Al completar la verificación KYC, podrá almacenar, retirar y transferir fondos de forma segura sin interrupciones. También nos ayuda a protegerlo contra el fraude financiero y otras amenazas de seguridad”.
“Lo instamos a que complete la verificación KYC lo antes posible para evitar la suspensión de su billetera”.
Correo electrónico de phishing de MetaMask
Este correo electrónico contiene un enlace de marketing de Namecheap (https://links.namecheap.com/)
que redirige al usuario a una página de phishing que se hace pasar por MetaMask.
Esta página solicita al usuario que ingrese su ‘Frase de recuperación secreta‘ o ‘Clave privada’, como se muestra a continuación.
Una vez que un usuario proporciona la frase de recuperación o la clave privada, los ciberdelincuentes pueden usarlas para importar la billetera a sus propios dispositivos y robar todos los fondos y activos.
Si recibiste un correo electrónico de phishing de DHL o MetaMask recientemente de Namecheap, elimínalo inmediatamente y no hagas clic en ningún enlace.
Namecheap culpa a “sistema ascendente”
Namecheap publicó un comunicado el domingo por la noche afirmando que sus sistemas no fueron vulnerados, sino que se trataba de un problema en un sistema ascendente que utilizan para el correo electrónico.
“Tenemos evidencia de que el sistema ascendente que usamos para enviar correos electrónicos (de terceros) está involucrado en el envío de correos electrónicos no solicitados a nuestros clientes. Como resultado, es posible que hayas recibido algunos correos electrónicos no autorizados”.
“Nos gustaría asegurarte que los propios sistemas de Namecheap no fueron violados y que tus productos, cuentas e información personal permanecen seguros”.
Comunicado emitido por Namecheap
Después del incidente de phishing, Namecheap dice que detuvieron todos los correos electrónicos, incluida la entrega del código de autenticación de dos factores, la verificación de dispositivos confiables y los correos electrónicos de restablecimiento de contraseña, y comenzaron a investigar el ataque con su proveedor ascendente. Los servicios se restablecieron más tarde esa noche a las 7:08 p. m. EST.
Si bien Namecheap no indicó el nombre de este sistema ascendente, el CEO de Namecheap tuiteó previamente que estaban usando SendGrid. Esto también se confirmó en los encabezados de correo de los correos electrónicos de phishing.
Respuesta de Twilio
Sin embargo, Twilio SendGrid le dijo a BleepingComputer que el incidente de Namecheap no fue el resultado de un ataque o compromiso de los sistemas del proveedor de servicios de correo electrónico, lo que agregó más confusión sobre lo que sucedió.
“Twilio SendGrid se toma muy en serio el fraude y el abuso e invierte mucho en tecnología y personas enfocadas en combatir las comunicaciones fraudulentas e ilegales. Somos conscientes de la situación con respecto al uso de nuestra plataforma para lanzar correo electrónico de phishing y nuestros equipos de fraude, cumplimiento y seguridad cibernética están involucrados en el asunto. Esta situación no es el resultado de un ataque o compromiso de la red de Twilio. Alentamos a todos los usuarios finales y entidades a adoptar un enfoque múltiple para combatir los ataques de phishing, implementando precauciones de seguridad como la autenticación de dos factores, la administración de acceso IP y el uso de mensajes basados en dominios. Todavía estamos investigando la situación y no tenemos información adicional para proporcionar en este momento”.
Corporación Twilio
El portal BleepingComputer contactó a Twilio con más preguntas sobre el incidente, pero no obtuvieron una respuesta de inmediato.
También se comunicaron con Namecheap con preguntas sobre el incidente, pero no hubo ninguna respuesta.