Periodistas falsos de CoinMarketCap atacan a ejecutivos de criptomonedas en una campaña de phishing.

Se utilizan perfiles falsos de periodistas de CoinMarketCap para realizar ataques de phishing dirigidos a ejecutivos de criptomonedas mediante entrevistas de Zoom, con riesgo de malware, robo de datos y pérdida de billetera.

Una nueva campaña de phishing selectivo se dirige a ejecutivos de la industria de las criptomonedas mediante solicitudes de entrevistas falsas. Los atacantes se hacen pasar por periodistas afiliados a CoinMarketCap y utilizan sus perfiles activos en el sitio web de la compañía para aparentar legitimidad.

Analistas de inteligencia de amenazas han identificado una campaña de phishing dirigida a ejecutivos de la industria de las criptomonedas. El atacante usa el nombre y la foto exactos de un excolaborador de CoinMarketCap para generar confianza.

Al ser contactado directamente, el individuo suplantado confirmó que ya no está afiliado a CoinMarketCap. Sin embargo, su nombre y foto siguen siendo públicos, lo que le da mayor credibilidad al intento de phishing.

La estafa funciona así: Los destinatarios reciben un correo electrónico invitándolos a participar en una entrevista sobre innovación en Web3 . El mensaje parece provenir del equipo de CoinMarketCap, pero en realidad proviene de un dominio falso, sin capacidad de resolución, configurado únicamente para enviar correos electrónicos.

Estos correos electrónicos están redactados profesionalmente y no levantan sospechas fuera del dominio. Cada uno incluye un botón para programar una llamada de Zoom a través de Calendly, conservando la imagen original de CoinMarketCap.

Cuando el objetivo se une a la llamada, se le presentan dos personajes: Igor y Dirk (este último se hace pasar por un ex editor de CoinMarketCap, utilizando el nombre real de la persona y la foto de perfil que se muestra a través de Zoom).

Tras una breve introducción y una charla informal, Igor le pide al objetivo que cambie el idioma de su aplicación al polaco, alegando que, de lo contrario, su aplicación para tomar notas fallaría. Incluso conversa con su cómplice, diciendo algo como: "Igual que hicimos la última vez en la otra entrevista. Dirk, ayúdame a cambiarlo al polaco también ".

Luego aprovecha para preguntar sobre el sistema operativo del objetivo para "ayudar a cambiar el idioma". Esto provoca el reinicio de Zoom, que ahora se ejecuta en polaco.

La entrevista se reanuda y, minutos después, aparece una ventana emergente en polaco con dos opciones, una resaltada en azul. Es un mensaje estándar de Zoom que dice: «Un participante remoto desea controlar su pantalla».

Aceptar le otorgaría al atacante control total sobre el teclado y el mouse del objetivo (suficiente para implementar malware, exfiltrar archivos o robar credenciales y billeteras de criptomonedas), todo bajo la apariencia de una interacción normal de la aplicación.

Los actores de amenazas explotan la función de control remoto de Zoom, ya que está habilitada por defecto en muchos entornos corporativos y suele pasar desapercibida como vector de ataque. Los usuarios no suelen esperar que Zoom se use con fines maliciosos, y aunque uno podría pensar que notarían algo raro, la mayoría se distrae durante las llamadas.

En la práctica, una vez otorgado el acceso remoto, la implementación de malware puede tardar solo unos segundos: basta con abrir un indicador de ejecución, pegar un comando y pulsar Intro para comprometer el sistema. Esta táctica ha demostrado ser muy eficaz, especialmente en ataques dirigidos contra profesionales de la criptografía, con víctimas de alto perfil e influencers que ya han advertido públicamente al respecto.

Este enfoque se asemeja a la reciente ola de ataques ClickFix , donde se indica a las víctimas que realicen los pasos por sí mismas. La diferencia radica en que el atacante ejecuta el procedimiento directamente de forma remota, lo que lo hace considerablemente más peligroso e impredecible.

Dominio: team-coinmarketcapcom

Dominio: contact-coinmarketcapcom

Correo electrónico: dirk@team-coinmarketcapcom

Correo electrónico: no-reply@contact-coinmarketcapcom

Pulso de inteligencia original: https://otx.alienvault.com/pulse/688bdd12087cf39d39d15839