Журналисты CoinMarketCap атакуют руководителей криптовалютных компаний фишинговой кампанией

Поддельные профили журналистов CoinMarketCap используются для фишинга руководителей криптокомпаний с помощью интервью в Zoom, что создает риск заражения вредоносным ПО, кражи данных и потери кошелька.

Новая фишинговая кампания направлена ​​на руководителей компаний криптоиндустрии с помощью поддельных запросов на интервью. Злоумышленники выдают себя за журналистов, связанных с CoinMarketCap , используя их активные профили на сайте компании, чтобы создать видимость подлинности.

Аналитики по анализу угроз выявили фишинговую кампанию, нацеленную на руководителей криптоиндустрии. Злоумышленник использует точное имя и фотографию бывшего участника CoinMarketCap для установления доверия.

При прямом обращении к нему выдававший себя человек подтвердил, что больше не связан с CoinMarketCap. Тем не менее, его имя и фотография остаются в открытом доступе, что придаёт фишинговой атаке дополнительный уровень достоверности.

Схема мошенничества выглядит следующим образом: получатели получают электронное письмо с приглашением на интервью, посвящённое инновациям Web3 . Письмо якобы от команды CoinMarketCap, но на самом деле оно исходит с поддельного домена, не работающего с резолвингами, настроенного только на отправку электронных писем.

Эти письма написаны профессионально и не вызывают подозрений, за исключением самого домена. Каждое письмо заканчивается кнопкой для записи на звонок в Zoom через Calendly, при этом сохраняется оригинальный фирменный стиль CoinMarketCap.

Когда целевой пользователь присоединяется к звонку, его знакомят с двумя персонажами: Игорем и Дирком (последний выдает себя за бывшего редактора CoinMarketCap, используя его настоящее имя и фотографию профиля, отображаемую через Zoom).

После краткого знакомства и небольшой беседы Игорь просит жертву изменить язык приложения на польский, утверждая, что иначе его приложение для заметок будет работать со сбоями. Он даже переписывается со своим подельником, говоря что-то вроде: «Точно так же, как в прошлый раз на другом интервью. Дирк, помоги мне тоже переключиться на польский».

Затем он пользуется случаем, чтобы спросить об операционной системе объекта, чтобы «помочь изменить язык». Это приводит к перезапуску Zoom, который теперь работает на польском языке.

Интервью продолжается, и через несколько минут появляется всплывающее окно на польском языке с двумя вариантами выбора, один из которых выделен синим. Это стандартное сообщение Zoom: «Удалённый участник хочет получить доступ к вашему экрану».

Приняв эти данные, злоумышленник получит полный контроль над клавиатурой и мышью цели (достаточный для развертывания вредоносного ПО, кражи файлов или кражи учетных данных и криптокошельков) — все это под видом обычного взаимодействия с приложением.

Злоумышленники используют функцию удалённого управления Zoom, поскольку она включена по умолчанию во многих корпоративных средах и часто остаётся незамеченной как вектор атаки. Пользователи обычно не ожидают, что Zoom будет использоваться во вредоносных целях, и хотя кто-то может подумать, что заметит что-то неладное, большинство отвлекается во время звонков.

На практике после предоставления удалённого доступа развертывание вредоносного ПО может занять всего несколько секунд: достаточно открыть окно командной строки, вставить команду и нажать Enter, чтобы скомпрометировать систему. Эта тактика доказала свою высокую эффективность, особенно в целевых атаках на специалистов по криптовалютам, о чём публично предупреждали известные жертвы и влиятельные лица.

Этот подход напоминает недавнюю волну атак ClickFix , когда жертвам предлагают выполнить необходимые действия самостоятельно. Разница заключается в том, что злоумышленник выполняет процедуру напрямую через удалённое управление, что делает её значительно более опасной и непредсказуемой.

Домен: team-coinmarketcapcom

Домен: contact-coinmarketcapcom

Электронная почта: dirk@team-coinmarketcapcom

Электронная почта: no-reply@contact-coinmarketcapcom

Оригинальный интеллект-импульс: https://otx.alienvault.com/pulse/688bdd12087cf39d39d15839