攻撃者は、2 要素認証 (XNUMXFA) を回避し、他の巧妙な回避戦術を使用して、Coinbase アカウントを乗っ取ることを目的とした最近観察されたフィッシング キャンペーンで、ユーザーから仮想通貨の残高をだまし取っています。

攻撃者は、一般的な電子メールを偽装した電子メールを使用しています。 cryptocurrency ユーザーをだまして自分のアカウントにログインさせて、アクセス権を取得し、被害者の資金を盗むための交換、研究者 PIXM ソフトウェア 見つけた。

「彼らは通常、元のウォレットを目的のウォレットから難読化するために、数百または数千のトランザクションを介して自動化された方法で「バーナー」アカウントのネットワークを通じてこれらの資金を配布します」と PIXM 脅威研究チームは説明しています。 ブログ投稿 木曜日に公開されました。 Coinbase は、2012 年から存在している上場の暗号通貨交換プラットフォームです。 最も主流の暗号交換、89 万人以上のユーザーを抱えているため、 魅力的なターゲット サイバー犯罪者向け。

賢い回避戦術

攻撃者は、検出を回避するためにさまざまな戦術を採用しています。その中には、攻撃に使用されるドメインが「非常に短い期間存続する」「短命ドメイン」と呼ばれる XNUMX つの研究者が含まれており、これは典型的なフィッシングの慣行から逸脱していると研究者は書いています。

「私たちの見積もりでは、ページの大部分がインターネット上で XNUMX 時間以内に利用可能であると推定されています」。PIXM の研究者は、攻撃の警告を受けても、必要なフォレンジックを実行することさえできませんでした。

これは、コンテキスト認識や 2 要素リレーなどの他の手法とともに、攻撃者が「フィッシング インフラストラクチャを掘り下げるのを防ぐ」ことを可能にします、と研究者は指摘しています。

PIXM によると、特にコンテキスト認識は、有効期間が短いドメインと同様に、セキュリティ研究者がフィッシング ページを難読化して事後にフォローアップすることを困難にするため、ステルスな戦術です。

この戦術により、敵対者は、ターゲットまたはターゲットが接続していると予想される IP、CIDR 範囲、または地理的位置のいずれかを知ることができます。 次に、フィッシングページにアクセス制御リスト (ACL) のようなものを作成して、意図したターゲットの IP、範囲、または地域からの接続のみを許可するように制限することができる、と研究者は述べています。

「これらのページの XNUMX つが、サイトが稼働している数時間以内に検出または報告されたとしても、研究者はサイトにアクセスできるようにページに設定された制限を偽装する必要があります」と研究者は書いています。

アカウント乗っ取りのためのフィッシング

攻撃は、仮想通貨取引所を偽装する悪意のある電子メールで Coinbase ユーザーを標的とするアクターから始まり、潜在的な被害者はそれが正当なメッセージであると思い込みます。

電子メールはさまざまな理由を使用して、疑わしいアクティビティのためにアカウントがロックされているか、トランザクションを確認する必要があると主張して、ユーザーに自分のアカウントにログインするよう促している、と研究者は述べています。

フィッシング キャンペーンでよくあることですが、ユーザーがメッセージ ディレクティブに従うと、偽のログイン ページに到達し、資格情報の入力を求められます。 その場合、攻撃者は資格情報をリアルタイムで受け取り、それを使用して正規の Coinbase Web サイトにログインします。

これは、攻撃者が攻撃構造で 2 要素リレーを使用する場合です。 回避する 研究者によると、Coinbase プラットフォームに組み込まれた MFA です。

攻撃者のアクションは、Coinbase に 2FA コードを被害者に送信するように促します。被害者は、偽のログイン ページに資格情報を入力することによって通知が促されたと考えています。 ユーザーが偽の Web サイトに 2FA コードを入力すると、攻撃者はすぐにそれを受け取り、正規のアカウントにログインして、アカウント制御を取得します。

攻撃者への資金の転用

脅威アクターがアカウントへのアクセス権を取得すると、検出を回避したり、疑いを持たせたりするために、多数のトランザクションを介してユーザーの資金を前述のアカウントのネットワークに流用します。

「これらの資金は、暗号通貨カジノ、賭けのアプリケーション、違法なオンライン市場など、規制されていない違法なオンライン暗号サービスを通じて横領されることもよくあります」と研究者は付け加えました。

一方、この時点で、無意識の被害者は、自分のアカウントがロックまたは制限されていることを知らせるメッセージを目にします。これは、悪意のある取引全体を引き起こした最初のフィッシング メールとは異なります。 問題を解決するためにカスタマー サービスとチャットするように求められ、チャット ボックスがページの右隅に表示されます。

このプロンプトは、実際には攻撃の第 XNUMX 段階であり、攻撃者は Coinbase の従業員になりすましてアカウントの回復を支援し、さまざまな個人情報やアカウント情報を要求します。 しかし実際には、攻撃者は時間を稼いでいるため、被害者が疑念を抱く前に送金を完了することができる、と研究者は述べています。

「彼らはこのチャットセッションを使用して、資金を送金している間、ターゲットを夢中にさせ、気を散らし続けます（送金が開始されたときにCoinbaseから受信する可能性のある電子メールまたはテキストから）」と彼らは書いています.

送金が完了すると、攻撃者はチャット セッションを突然閉じてフィッシング ページをシャットダウンし、Coinbase ユーザーを混乱させ、すぐに自分が不正行為を行ったことに気付きます。 完全にだまされた、 彼らは言った。