Мошенники украли более 580 000 долларов у ничего не подозревающих жертв в ходе продолжающейся хакерской и фишинговой атаки с использованием адресов электронной почты крупных компаний Web3, включая Cointelegraph, WalletConnect и Token Terminal.
Злоумышленники подделывали официальные адреса электронной почты для отправки вредоносных ссылок с помощью поставщика услуг электронной почты MailerLite, который, предположительно, был взломан. Компания подтвердила, что расследует эту проблему.
Скриншот фишингового письма в рамках текущей кампании. Источник: ZachXBT.
Криптовалютный следователь ZachXBT отметил на своем канале Telegram адрес мультичейна, на котором с момента доставки фишинговых писем было собрано украденной криптовалюты на сумму более 580 000 долларов.
Адрес содержит смесь из 280 различных токенов криптовалюты, при этом 86% портфеля кошелька на момент написания занимают 227 ETH.
WalletConnect также предупредил пользователей X (ранее Twitter), что ему известно о фишинговом электронном письме, предлагающем пользователям щелкнуть вредоносную ссылку для раздачи.
«Нам известно об электронном письме, которое, судя по всему, было отправлено с адреса электронной почты, связанного с WalletConnect, и предлагало получателям открыть ссылку, чтобы получить возможность запросить раздачу. Мы можем подтвердить, что это электронное письмо не было отправлено непосредственно от WalletConnect или каких-либо филиалов WalletConnect и что ссылка, по всей видимости, ведет на вредоносный сайт. Мы работаем над дальнейшим расследованием. Хотя мы продолжаем лучше понимать ситуацию, мы призываем всех, кто получил это письмо, вообще не взаимодействовать с ним», – говорится в сообщении WalletConnect (@WalletConnect) 23 января 2024 г.
Пользователи Web3 SocialFi и антивирусного приложения De.Fi также получают электронные письма с рекламой открытия панели запуска, включая ссылку на раздачу. Злоумышленники также объявили о запуске фальшивой бета-версии Token Terminal с кнопкой, якобы позволяющей потребовать фиктивную раздачу.
Главный операционный директор Wallet Connect Джесс Хоулгрейв сообщил, что злоумышленники использовали реальный адрес электронной почты компании для рассылки фишинговых писем и что она также контактирует с MailerLite.
Согласно отчету платформы кибербезопасности Hudson Rock, ее исследователи обнаружили копию вредоносной программы CRYPTBOT Infostealer на компьютере, принадлежащем сотруднику MailerLite. Hudson Rock утверждает, что эта вредоносная программа могла быть использована для получения доступа к серверам MailerLite, данные и возможности которых могли использоваться в дальнейших атаках.
MailerLite пока не отвкчает на запросы более подробной информации о том, как злоумышленникам удалось использовать официальные адреса электронной почты.
Token Terminal и De.Fi, которые также были имперсонированы хакером, пока не ответили на запросы о комментариях. Информация, предоставленная компанией по обеспечению безопасности Web3 Blockaid, указывает на то, что злоумышленники использовали программное обеспечение для выкачивания кошельков Angel Drainer, которое также использовалось в громкой атаке Ledger Connect Kit в декабре 2023 года.
Инвесторы всегда должны быть осторожны при взаимодействии с электронными письмами, содержащими неожиданные объявления о раздаче.