[nowość] Poznaj bezpieczeństwo Windows. Cześć pierwsza: usługi systemowe. Nowe, bezpłatne szkolenie od sekuraka!

Sprytny phishing na portfel MetaMask. Dla niepoznaki używają przekierowania przez wyszukiwarkę Bing

04 stycznia 2023, 08:59 | W biegu | komentarze 2

Jeden z naszych czytelników podesłał nam świeży scam na MetaMask. Jest to cyfrowy portfel kryptowalutowy używany do transakcji na blockchainie oparty na Ethereum. Instalowany jako dodatek do przeglądarki. Phishing ten jest o tyle ciekawy, że zawiera wiele punktów zasłaniających fałszerstwo. 

Rys. 1. Fałszywy e-mail.

Pierwszym jest domena z literówką łudząco przypominająca właściwy wyraz w postaci “metamaks”. Drugim jest fakt wysłania wiadomości e-mail przez serwer pocztowy w domenie Microsoft. Pomimo że metoda DKIM (sprawdzająca możliwą relację pomiędzy domeną wysyłającą a tą z pola nadawcy) wyświetla informację o nieudanym uwierzytelnieniu domeny, to jednak w większości prostych przeglądarkowych klientów pocztowych ta informacja może się nie pojawić w ogóle. Trzecim punktem jest sam szablon wiadomości, który jest identyczny jak szablon z prawidłowej domeny MetaMask. Jednak ten fałszywy zawiera też błędy – m.in. linki do portali społecznościowych nie wyświetlają się jako ikony, a czysty tekst pionowy jest nieprawidłowo wyświetlany.

Rys. 2. Badanie nagłówka wiadomości.

Czwartym punktem, najbardziej ciekawym, jest sam link w treści wiadomości. Przestępca używa przekierowania z wyszukiwarki bing.com, by ukryć złośliwy link. Ciekawostką jest jednak fakt, że zanim z przekierowania trafi się na fałszywą stronę, to po drodze użytkownik przechodzi przez stronę info.support.huawei.com.

Rys. 3. Nagłówek HTTP po kliknięciu w link.

Przekierowanie jest realizowane za pomocą metody kodowania URL i kieruje do adresu https://metamask[.]io-portal[.]org z konkretnym parametrem, prawdopodobnie będącym identyfikatorem kampanii atakującej.

Rys. 4. Pełna strona phishingowa.

Strona wymaga jedynie podania wyrazów tworzących tzw. “passphrase”, czyli “hasła” wygenerowanego w momencie tworzenia portfela z np. 12 losowych wyrazów. Po podaniu tych wyrazów strona natychmiast informuje, że “weryfikacja przebiegła pomyślnie” i ofiara zostaje od razu przekierowana na prawidłową stronę – metamask.io.

Rys. 5. Weryfikacja udana, tudzież mamy dostęp do Twojego portfela.

Strona wyświetla się już w VirusTotal jako potencjalnie niebezpieczna.

Uważajcie!

Jeżeli chcesz poznać więcej tego typu bieżących analiz, koniecznie zapisz się na nasze szkolenie „Nie daj się cyberzbójom 3.0” pod tym linkiem.

~tt

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Michał

    Ja miałem jeszcze ciekawszy przypadek, ale moja ukochana przeglądarka Opera mnie ostrzegła (albo sam Metamask?), że coś jest nie tak. Miałem jakieś takie ciekawe złośliwe oprogramowanie, które sprawiało, że po skopiowaniu adresu portfela na Metamasku, wklejał się już inny na stronie innego portfela czy giełdy, z której miałem przelać kryptowaluty. W momencie wklejania adresu tego portfela, dostawałem komunikat, że wklejony adres różni się od skopiowanego. Norton nie znalazł źródła problemu i dopiero Malwarebytes usunął ten sprytny program.

    Odpowiedz
    • czekaj

      Teraz czekaj na wirusa, który od razu podmieni adres w przeglądarce.
      Zrób nową instalację systemu i nie ufaj nortonowi.
      Poczytaj safegroup pl

      Odpowiedz

Odpowiedz