Conforme indicado no relatório, "os pesquisadores da Hudson Rock identificaram um computador recentemente infectado pertencente a um funcionário do MailerLite com acessos a URLs confidenciais dentro do MailerLite e de terceiros". O computador possuía acesso às credenciais de login para o URL admin.mailerlite.com/admin, que aparenta ser a página de login utilizada pelos funcionários do MailerLite.
Um sofisticado golpe de phishing acabou de resultar no roubo de cerca de US$ 580 mil, direcionado a pelo menos quatro endereços de e-mail de empresas web3. O detetive de golpes de ativos digitais, ZackXBT, revelou os detalhes no antigo Twitter (X), destacando uma série de e-mails fraudulentos enviados para empresas proeminentes, como WalletConnect, Token Terminal, Cointelegraph e DeFi.
Os e-mails enviados, semelhantes aos das empresas visadas, continham links falsos que atraíram os usuários sob a promessa de participar de airdrops da comunidade. Infelizmente, essa artimanha resultou em perdas de ativos totalizando mais de meio milhão de dólares.
ZackXBT identificou o endereço 0xe7D13137923142A0424771E1778865b88752B3c7 como parte do esquema, destacando que aproximadamente US$ 580 mil já haviam sido subtraídos. As empresas afetadas emitiram alertas, orientando os usuários a não interagirem com os links fraudulentos.
Ataques direcionados a Token Terminal e WalletConnect
Nesta terça-feira, dia 23 de janeiro, os criminosos atacaram o Token Terminal, simulando o lançamento de um airdrop de acesso antecipado. Um comunicado falso afirmava: "Estamos prestes a revelar a melhor versão do Token Terminal e queremos que você seja um dos primeiros a explorar seus recursos exclusivos". A plataforma esclareceu imediatamente no Twitter que isso era falso e iniciou uma investigação.
A WalletConnect também foi alvo, seguindo um padrão semelhante de alegações de uma rara oportunidade. A plataforma alertou os usuários sobre a trama e está colaborando com @blockaid_ na investigação.
Os usuários do De.Fi foram impactados por e-mails fraudulentos prometendo recompensas por sua jornada de descentralização. A plataforma De.Fi emitiu um aviso, identificando atividades suspeitas e aconselhando os usuários a não interagirem com o e-mail associado.
O Cointelegraph esclareceu que não divulgou nenhum airdrop e alertou os usuários a não clicarem em links desconhecidos recebidos por e-mail.
Cointelegraph apresenta cronologia dos fatos:
07h03min (Horário de Brasília): A WalletConnect anunciou que seus usuários estavam recebendo e-mails maliciosos. A equipe alertou sobre um e-mail que solicitava a abertura de um link para reivindicar um airdrop, esclarecendo que não foi enviado diretamente por eles.
07h11min: O Cointelegraph recebeu alertas no Telegram sobre e-mails fraudulentos enviados a assinantes. A equipe interna confirmou o recebimento do e-mail malicioso, que prometia um "10th Anniversary Web3 Exclusive Airdrop" com links para um protocolo malicioso.
O Cointelegraph também compartilhou em outras plataformas de mídia social um aviso, esclarecendo que não estava promovendo nenhum airdrop e aconselhando os usuários a não clicarem em links de e-mails que afirmassem o contrário.
11h00min: O Cointelegraph, ciente do relatório da WalletConnect, iniciou uma investigação e contatou a Blockcaid em busca de informações adicionais. O detetive de segurança ZachXBT revelou que o ataque de phishing envolveu "CoinTelegraph, WalletConnect, Token Terminal e De.Fi".
11h41min: O Cointelegraph relatou o incidente de hacking.
13h34min: O serviço de segurança cibernética Hudson Rock divulgou um relatório indicando a descoberta de malware em um computador pertencente a um funcionário do MailerLite. Esse malware, segundo a Hudson Rock, pode ter permitido o acesso aos servidores do MailerLite, explicando a campanha de phishing. O Cointelegraph atualizou sua cobertura para incluir essas alegações.
Além disso, o computador continha cookies válidos para Slack.com e Office365, os quais poderiam ter sido utilizados para realizar sequestros de sessão, obtendo assim informações privadas. A empresa de cibersegurança afirmou ter obtido uma imagem da área de trabalho do usuário no momento do ataque, revelando que "eles foram comprometidos ao tentar executar um software infectado".
A Hudson Rock alertou que essas evidências não confirmam que a campanha de phishing foi desencadeada por essa infecção de malware, pois "não está claro se o MailerLite foi alvo de uma exploração ou não". No entanto, as evidências "demonstram como uma única infecção por infostealer pode ser prejudicial para qualquer empresa" e oferecem uma hipótese plausível de como a campanha de phishing poderia ter ocorrido.
16h55min: A Blockaid divulgou um relatório detalhando os resultados de sua investigação, sugerindo que o invasor explorou uma vulnerabilidade no provedor de e-mail MailerLite para se passar por empresas web3, resultando na drenagem de mais de US$ 600.000.
O Cointelegraph entrou em contato com o MailerLite, que afirmou estar conduzindo sua própria investigação, mas ainda não forneceu um relatório completo até o momento da publicação.
Persistência do ataque de phishing no espaço cripto
O ataque de phishing continua sendo uma ameaça significativa, com usuários perdendo ativos ao acessar carteiras Web3 por meio de links fraudulentos. Os hackers frequentemente utilizam o malware conhecido como "Wallet Drainer", configurado para automaticamente roubar ativos quando os usuários interagem com links falsos em plataformas como Discord, Twitter e resultados de pesquisa do Google.
Os ataques de phishing não poupam nem mesmo os principais provedores de serviços de segurança, como a CertiK. Relatórios indicam que cerca de 324 mil usuários de criptomoedas perderam quase US$ 295 milhões devido a esses ataques em 2023, ressaltando a urgência de medidas de segurança robustas na indústria cripto. Em novembro de 2023, os ataques resultaram em perdas de US$ 340 milhões de ativos de usuários em plataformas DeFi, contribuindo para o prejuízo total de US$ 1,95 bilhão na indústria cripto em 2023.
