Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Correos electrónicos falsos de violación de datos de Trezor utilizados para robar wallets

Correos electrónicos falsos de violación de datos de Trezor utilizados para robar wallets

por Dragora

Se utilizó una lista de correo de billetera de hardware Trezor comprometida para enviar notificaciones de violación de datos falsos para robar billeteras de criptomonedas y los activos almacenados en ellas.

Trezor es una billetera de criptomonedas de hardware que le permite almacenar sus criptoactivos fuera de línea, en lugar de usar billeteras basadas en la nube o billeteras almacenadas en su PC que son más vulnerables al robo.

Al configurar un nuevo Trezor, se mostrará una semilla de recuperación de 12 a 24 palabras que permite a los propietarios recuperar sus billeteras si su dispositivo es robado o perdido.

Sin embargo, cualquiera que conozca esta semilla de recuperación puede obtener acceso a la billetera y sus criptomonedas almacenadas, por lo que es vital almacenar la semilla de recuperación en un lugar seguro.

A partir de hoy, los propietarios de billeteras de hardware de Trezor comenzaron a recibir notificaciones de violación de datos que incitaban a los destinatarios a descargar un software falso de Trezor Suite que robaría sus semillas de recuperación.

Trezor  confirmó en Twitter  que estos correos electrónicos eran un ataque de phishing enviado a través de uno de sus boletines opcionales alojados en MailChimp.

Trezor dijo más tarde que MailChimp supuestamente confirmó que su servicio estaba comprometido por un «infiltrado» que apuntaba a las empresas de criptomonedas.

tuit de Trezor

BleepingComputer se ha puesto en contacto con MailChimp para obtener más información sobre este compromiso, pero no ha recibido una respuesta en este momento.

Una mirada más profunda al ataque de Trezor

El ataque de phishing comenzó cuando los propietarios de la billetera de hardware Trezor recibieron correos electrónicos falsos de incidentes de seguridad que afirmaban ser una notificación de violación de datos.

«Lamentamos informarle que Trezor ha experimentado un incidente de seguridad que involucra datos pertenecientes a 106,856 de nuestros clientes, y que la billetera asociada con su dirección de correo electrónico [correo electrónico aquí] está entre los afectados por la violación», lee el falso Trezor. correo electrónico de phishing de violación de datos.

Notificación de violación de datos falsos de Trezor
Notificación de violación de datos falsos de Trezor
Fuente: Twitter

Estos correos electrónicos falsos de violación de datos dicen que la empresa no conoce el alcance de la violación y que los propietarios deben descargar la última Trezor Suite para configurar un nuevo PIN en su billetera de hardware.

El correo electrónico incluye un botón «Descargar la última versión» que lleva al destinatario a un sitio de phishing que aparece en el navegador como suite.trezor.com.

Sin embargo, el sitio web es un  nombre de dominio que usa caracteres Punycode  que permite a los atacantes hacerse pasar por el dominio trezor.com usando caracteres acentuados o cirílicos, siendo el nombre de dominio real suite.xn--trzor-o51b[.]com.

Cabe señalar que el sitio web legítimo de Trezor es trezor.io.

Este sitio falso solicita a los usuarios que descarguen la aplicación Trezor Suite, como se muestra a continuación.

Sitio de phishing que promociona Trezor Suite falso
Sitio de phishing que promociona Trezor Suite falso
Fuente: BleepingComputer

Además del sitio web suite.xn--trzor-o51b[.]com, los actores de amenazas también crearon sitios de phishing en las URL:

1
2
3
http://trezorwallet[.]org/
trezor[.]us
http://suite.trezoriovpjcahpzkrewelclulmszwbqpzmzgub37gbcjlvluxtruqad[.]onion/ (Tor site)

Cuando un visitante descarga la aplicación de escritorio, descargará una aplicación Trezor Suite falsa del sitio de phishing llamado ‘Trezor-Suite-22.4.0-win-x64.exe’.

Como puede ver a continuación, la aplicación legítima de Trezor Suite está firmada con un certificado de «Satoshi Labs, sro» y la versión falsa de Windows [ VirusTotal ] está firmada con un certificado de «Neodym Oy» (derecha).

Comparación de firmas digitales para descargas falsas y legítimas de Trezor Suite
Comparación de firmas digitales para descargas falsas y legítimas de Trezor Suite
Fuente: BleepingComputer

Como Trezor Suite es de código abierto, los actores de amenazas descargaron el código fuente y crearon su propia aplicación modificada que se ve idéntica a la aplicación legítima original.

Irónicamente, esta suite falsa incluso incluye el banner de advertencia de Trezor sobre ataques de phishing en la parte superior de la pantalla de la aplicación.

Software falso Trezor Suite
Software falso Trezor Suite
Fuente: BleepingComputer

Sin embargo, una vez que los propietarios de Trezor conectan su dispositivo a la aplicación falsa de Trezor Suite, se les pedirá que ingresen su frase de recuperación de 12 a 24 palabras, que se envía de vuelta a los atacantes.

Ahora que los atacantes tienen su frase de recuperación, pueden usarla para importar la frase de recuperación a sus propias billeteras y robar los activos de criptomonedas de las víctimas.

Fuente: https://www.bleepingcomputer.com

You may also like

Dejar Comentario

Click to listen highlighted text!