Scammers υποδύονται τον bankruptcy claim agent για τον crypto lender Celsius σε επιθέσεις phishing που επιχειρούν να κλέψουν χρήματα από cryptocurrency wallets.
Δείτε επίσης: Ανακοίνωση της εταιρείας για το Free Download Manager site που διέσπειρε Linux malware
Τον Ιούλιο του 2022, ο crypto lender Celsius υπέβαλε αίτηση για πτώχευση και πάγωσε τις αναλήψεις από τους λογαριασμούς των χρηστών. Οι πελάτες έχουν καταθέσει απαιτήσεις εναντίον της εταιρείας, ελπίζοντας να ανακτήσουν μέρος των κεφαλαίων τους.
Τις τελευταίες μέρες, άνθρωποι αναφέρουν ότι λαμβάνουν απάτες με email που προσποιούνται ότι προέρχονται από την Stretto, τον Claims Agent για τη διαδικασία αφερεγγυότητας της Celsius.
Ένας παραλήπτης μοιράστηκε το phishing email με το BleepingComputer, το οποίο ισχυρίζεται ότι προσφέρει στους πιστωτές ένα παράθυρο 7 ημερών για να αποκτήσουν πρόσβαση στα παγωμένα κεφάλαιά τους.
Δείτε επίσης: Διεθνές Ποινικό Δικαστήριο: Έπεσε θύμα κυβερνοεπίθεσης
Το email αναφέρει ότι προέρχονται από την “Stretto Corporate Restructing”, χρησιμοποιώντας τη διεύθυνση email no-reply@stretto.com, όπως φαίνεται παρακάτω.
Το phishing email περιλαμβάνει έναν σύνδεσμο προς τον ιστότοπο case-stretto[.]com, ο οποίος ανακατευθύνει τον παραλήπτη στο phishing site pretends-stretto[.]com παρακάτω. Το claims-stretto[.]com domain καταχωρήθηκε σήμερα και φιλοξενείται σε έναν πάροχο web hosting στις Σεϋχέλλες.
Ο νόμιμος ιστότοπος Stretto για Celsius claims βρίσκεται στη διεύθυνση https://cases.stretto.com/celsius/claims/.
Στη σελίδα, οι επισκέπτες καλούνται να εισάγουν τη διεύθυνση email τους για να ανακτήσουν την αίτησή τους και, όταν πατηθεί το κουμπί υποβολής, ανοίγει ένα παράθυρο WalletConnect για να συνδέσετε το εγκατεστημένο πορτοφόλι κρυπτονομισμάτων σας με τον ιστότοπο.
Με τη σύνδεση ενός πορτοφολιού, το site θα έχει πλέον πρόσβαση σε όλες τις πληροφορίες που αποθηκεύονται μέσα, συμπεριλαμβανομένων των κρυπτονομισμάτων, των υπολοίπων, της δραστηριότητας και της δυνατότητας πρότασης συναλλαγών.
Με αυτήν τη σύνδεση στη θέση της, οι χάκερ μπορούν να προσπαθήσουν να αδειάσουν όλα τα assets και τα NFTs που αποθηκεύονται στο πορτοφόλι, παρουσιάζοντας τη συναλλαγή ως κατάθεση.
Περνά τους ελέγχους SPF
Αυτή η επιθετική εκστρατεία ξεχωρίζει διότι τα email περνούν τους έλεγχους του Sender Policy Framework (SPF), οι οποίοι καθορίζουν εάν ένα email προέρχεται από ένα έγκυρο διακομιστή email για το sending domain.
Το SPF εκτελεί αυτόν τον έλεγχο συγκρίνοντας τη διεύθυνση IP του mail server που στέλνει το email με μια λίστα διευθύνσεων IP που βρίσκονται στην εγγραφή SPF DNS για το domain που χρησιμοποιείται στη mail header ‘Return-Path’.
Σε αυτήν την περίπτωση, το return path του phishing email είναι ‘bounces+xxx-xx=xxx.com@em6462.stretto.com’, με το em6462.stretto.com να έχει εγγραφή SPF v=spf1 ip4:149.72.171.199 -all. Αυτό το SPF record σημαίνει ότι τυχόν email από το 149.72.171.199 θα πρέπει να θεωρούνται έγκυρα και να μην επισημαίνονται ως spam.
Καθώς αυτά τα phishing emails προέρχονται από τη διεύθυνση IP 149.72.171.199, η οποία ανήκει στην εταιρεία email marketing SendGrid, περνούν τον έλεγχο SPF και επιτρέπονται για παράδοση.
Παρακάτω φαίνεται η εικόνα (ορισμένες πληροφορίες έχουν αφαιρεθεί), όπου το email παραδίδεται με επιτυχία στο Gmail μετά από επιτυχημένους έλεγχους SPF.
Ένας από τους αποδέκτες αυτών των phishing email είπε στο BleepingComputer ότι δεν είχε λογαριασμό στην Celsius και ποτέ δεν κατέθεσε αίτηση ως δανειστής, κάτι που καθιστά παράξενο το γεγονός ότι λάβανε αυτό το ηλεκτρονικό μήνυμα.
Οι επιτιθέμενοι πιθανώς χρησιμοποιούν παλαιότερες λίστες επαφών που προηγουμένως κλάπηκαν μέσω χακαρισμένων λογαριασμών cryptocurrency marketing.
Το BleepingComputer επικοινώνησε με την Stretto για να επιβεβαιώσει αν ο λογαριασμός τους στο SendGrid διαρράγηκε για να στείλει αυτά τα email, αλλά δεν έλαβε απάντηση.
Εάν λάβετε ένα email που ισχυρίζεται ότι αφορά τους ισχυρισμούς του Celsius, αγνοήστε το και ελέγξτε για νέες ενημερώσεις σχετικά με την υπόθεση στον νόμιμο ιστότοπο https://cases.stretto.com/celsius/.
Δυστυχώς, εάν έχετε ήδη επισκεφθεί έναν από αυτούς τους ιστότοπους απάτης και έχετε χάσει κεφάλαια ή NFTs μετά τη σύνδεση του πορτοφολιού σας, πιθανόν δεν υπάρχει τρόπος ανάκτησης των περιουσιακών σας στοιχείων.
Η Celsius έχει προηγουμένως αναφέρει παρόμοιες επιθέσεις phishing που χρησιμοποιήθηκαν για την κλοπή κεφαλαίων των πιστωτών.
Πηγή πληροφοριών: bleepingcomputer.com
