Fuente: Hackread.com – Autor: Mauro Eldritch. Perfiles periodistas falsos de CoinMarketCap utilizados en ejecutivos criptográficos de Target Spear-Phishing a través de entrevistas con zoom, arriesgando malware, robo de datos y pérdida de billetera. Una nueva campaña de phishing de lanza está dirigida a ejecutivos en la industria de la criptografía a través de solicitudes de entrevistas falsas. Los atacantes se hacen pasar por periodistas afiliados a CoinMarketCap, utilizando sus perfiles activos en el sitio web de la compañía para parecer legítimos. La identidad real, los analistas de inteligencia de amenazas de riesgo real han identificado una campaña de phishing de lanza dirigida a ejecutivos de la industria criptográfica. El atacante usa el nombre y la foto exactos de un ex contribuyente de CoinMarketCap para establecer la confianza. Cuando se contactó directamente, el individuo sonsonado confirmó que ya no está afiliado a CoinMarketCap. Sin embargo, su nombre y foto permanecen en la lista pública, dando al intento de phishing una capa adicional de credibilidad. La configuración de la estafa funciona como esta: los objetivos reciben un correo electrónico que los invita a participar en una entrevista en Web3 Innovation. El mensaje parece provenir del equipo CoinMarketCap, pero en realidad se origina en un dominio falso y no resolución configurado solo para enviar correos electrónicos. Imagen A – Información del dominio Según la plataforma AlienVault OTX Intel, estos correos electrónicos se escriben profesionalmente y no plantean sospechas más allá del dominio en sí. Cada uno se cierra con un botón para programar una llamada de zoom a través de Calendly, que sigue con la marca original CoinMarketCap. Cuando el objetivo se une a la llamada, se les presenta dos caracteres: Igor y Dirk (este último que se hace pasar por un ex editor de CoinMarketCap, utilizando el nombre real y la imagen de perfil de la persona que se muestra a través de Zoom). Imagen B-Correo electrónico falso recibido por un ejecutivo después de una breve introducción y una pequeña charla, Igor le pide al objetivo que cambie el idioma de su aplicación a pulir, alegando que su aplicación de toma de notas no funcionaría. Incluso conversa con su compañero en el crimen, diciendo algo como: «Al igual que lo hicimos la última vez con la otra entrevista. Dirk, ayúdame a cambiarlo a pulir de tu parte también». Luego aprovecha la oportunidad para preguntar sobre el sistema operativo del objetivo para «ayudar a cambiar el idioma». Este proceso lleva a un reinicio de zoom, que ahora se ejecuta en esmalte. La entrevista se reanuda, y minutos después, una ventana emergente aparece en polaco con dos opciones, una resaltada en azul. Es una solicitud de zoom estándar que indica: «Un participante remoto quiere tomar el control de su pantalla». Aceptar otorgaría al atacante el control total sobre el teclado y el mouse del objetivo (suficiente para implementar malware, exfiltrados archivos o robar credenciales y billeteras criptográficas), todo bajo la apariencia de interacción normal de la aplicación. Los actores de amenaza de control remoto explotan la función de control remoto de Zoom porque está habilitado de forma predeterminada en muchos entornos corporativos y a menudo pasa desapercibido como un vector de ataque. Los usuarios generalmente no esperan que Zoom se use maliciosamente, y aunque uno puede pensar que notarían que algo está mal, la mayoría se distrae durante las llamadas. En la práctica, una vez que se otorga acceso remoto, la implementación de malware puede tomar solo segundos: abrir un mensaje de ejecución, pegar un comando y presionar ENTER es suficiente para comprometer el sistema. Esta táctica ha demostrado ser altamente efectiva, especialmente en ataques específicos contra profesionales de criptografía, con víctimas e influencers de alto perfil que ya advierten públicamente sobre esto. Este enfoque se asemeja a la reciente ola de ataques de ClickFix, donde las víctimas reciben instrucciones de realizar los pasos mismos. La diferencia aquí es que el atacante ejecuta el procedimiento directamente a través del control remoto, lo que lo hace considerablemente más peligroso e impredecible. Imagen C: una grabación real de los actores de amenaza que se hacen pasar por el dominio de los empleados de CoinMarketCap y el resumen del dominio: Team-CoinmarketCapcom: Contact-CoinmarketCapcom Correo electrónico: dirk@team-coinmarketcapcom Correo electrónico: no-repetir@contact-coinmarketCapcom referencias originales pulso de inteligencia original: https://otx.alienvault.com/pulse/688bdd12087cf39d39d15839 Original Post url: https://hackread.com/fake-coinmarketcap-journalists-crypto-executives-spear-phishing/Category & Tags: Security,Cryptocurrency,Scams and Fraude, clickfix, coinmarketcap, cripto, fraude, periodistas, phishing de lanza, zoom – seguridad, criptomonedas, estafas y fraude, clickfix, coinmarketcap, cripto, fraude, periodistas, phishing de lanza, zoom