Analiza kolejnego fałszywego kantora kryptowalut z dwoma technikami ataku w tle

Na naszą skrzynkę sekurak@sekurak.pl dostaliśmy kolejny przykład fałszywego kantoru kryptowalut i specjalnie dla naszych czytelników zrobiliśmy jego analizę. SMS, który ma podrobione pole nadawcy na “SAFEPAL” informuje nas, że powiodła się transakcja i do konta właściciela dodano $480. Jednocześnie SMS wskazuje dane i link do logowania, udając także troskę jako firma SafePal Inc. Fałszywa domena, której dane rejestracyjne zostały ukryte faktycznie wygląda na bardzo zbliżoną do oryginału: safepallite[.]com. Domena została zarejestrowana 18 września i został na niej zainstalowany typowy certyfikat Sectigo.

Rys. 1. Smishing.

Rys. 2. Pamiętajmy, że “kłódka” w domenie oznacza tylko tyle, że wykradane od nas dane nie zostaną skradzione przez dodatkowego przestępcę, który podsłuchuje transmisje.

Sprawdziliśmy tego linka na portalu virustotal.com jednak strona nie zgłasza się jeszcze jako phishingowa. 

Rys. 3. Wynik analizy virustotal.com.

W zabezpieczonym środowisku piaskownicy (ang. sandbox), czyli na jałowej maszynie wirtualnej zabezpieczonej regułami firewall wraz z zainstalowanym środowiskiem Windows Sandbox, postanowiliśmy zalogować się do portalu danymi przedstawionymi w wiadomości SMS i te dane zadziałały.

Rys. 4. Strona logowania.

W następnym kroku od razu naszym oczom ukazują się dane konta nieistniejącej osoby i balans wynoszący 1.22 BTC czyli około 25 tysięcy dolarów. Co ciekawe balans zmienia się wraz z kursem kryptowaluty bitcoin.

Rys. 5. Strona startowa po zalogowaniu.

Na dole strony zauważamy także rzekomą historię transakcji konta i tak jak sugeruje SMS, najnowszą transakcją jest wpłata $480.

Rys. 6. Lista transakcji.

Przeklikując poszczególne elementy menu, trafiamy na nieco inną stronę główną i żeby uwiarygodnić, że cała strona nie jest phishingowa, posiada wklejony fragment strony tradingview.com z aktualnymi wykresami pary BTC/USDT.

Rys. 7. Podłączone API tradingview.com.

Chcąc dokonać wpłat do “naszego” portfela możemy skorzystać z gotowego kodu QR z adresem BTC. 

Rys. 8. Adres portfela BTC do wpłat.

Jeżeli jednak próbujemy dokonać wypłaty z “naszego” portfela do portfela zewnętrznego, to dostajemy komunikat, że nasze konto obecnie nie jest opłacone i możemy wybrać jedną z trzech możliwości: opłata $100, $300 lub $500. Oczywiście wybraliśmy opcję $500 bo lubimy konta premium.

Rys. 9. Miejsce realizacji phishingu.

Po wybraniu najlepszego dla nas planu z darmową kartą płatniczą, pojawia się o dziwo ten sam adres portfela BTC do wpłaty niezbędnej kwoty do aktywacji konta! 

Rys. 10. Adres portfela do kradzieży pieniędzy (taki sam jak adres prywatnych wpłat).

Po wypełnieniu krótkiego formularza kontaktowego z imieniem, nazwiskiem, adresem zamieszkania, telefonem i adresem e-mail, dostajemy informację, że obsługa klienta wkrótce się z nami skontaktuje. Co jest przykładem powiązania dwóch technik ataku phishingowego. Z jednej strony następuje próba zmanipulowania nas do wpłaty pieniędzy na konto oszusta, a z drugiej strony po wypełnieniu formularza, osoba może stać się ofiarą vishingu. Cyberzbój zapewne zadzwoniłby z giełdy wskazując, że jest problem z przelewem i prosiłby o zainstalowanie aplikacji AnyDesk bo ofiara ma wirusa i trzeba go usunąć, w czym napastnik chętnie “pomoże”.

Rys. 11. Informacja o wysłaniu danych prosząc się o vishing.

Dodatkowo, fałszywa strona ma zaimplementowane API czatu LiveChat. Zostawiliśmy wiadomość, ale nikt nie odpisał :-(. Przestępca też prawdopodobnie nie wie, że implementacja API na zewnętrznej stronie LiveChat powoduje łączenie się z serwerem macierzystym aplikacji za pomocą identyfikatora klienta usługi… :-). Stąd łatwa droga do pozyskania danych rejestratora w usłudze LC np. przez służby.

Rys. 12. Zaimplementowany kod aplikacji LiveChat.

Zbadaliśmy także adres portfela BTC bc1qhre7dm2eepqjxvm28xvfdk3qfta8kwfegcdsj4, którego aktualny balans wynosi 0, jednak były na nim wykonane 7 transakcji. Niestety ostatnia z nich wskazuje wartość wpłaty na 0.005 BTC i potem wypłatę tej samej wartości, która według aktualnego kursu przeliczenia wynosi 100 dolarów… oznaczać to może, że ktoś niestety dał się złapać na phishing. 

Rys. 13. Transakcja wpłaty i wypłaty na 100 dolarów (jedna z opcji planów phishingowych).

Czekamy od Was na kolejne próbki :-)

~tt