Une attaque coordonnée de piratage et de phishing cible les investisseurs et inonde leur boîte de réception de faux e-mails promouvant des largages de jetons.
Des pirates informatiques ont fait semblant d’être plusieurs grandes entreprises Web3, telles que WalletConnect, Cointelegraph et Token Terminal.
Une attaque en cours
Les événements en cours ont été révélés dans un tweet par l’investigateur on-chain ZachXBT, qui a révélé que les investisseurs recevaient des e-mails de phishing de plusieurs sources prétendant être de plates-formes telles que la plate-forme de données full stack on-chain Token Terminal, le pont de portefeuille de crypto-monnaie et dApp WalletConnect, le suivi de portefeuille de financement décentralisé De.Fi et la maison de crypto-monnaie Cointelegraph.
“Alerte à la communauté : des e-mails de phishing sont actuellement envoyés et semblent provenir de CoinTelegraph, Wallet Connect, Token Terminal et des e-mails d’équipe DeFi. ~ 580 000 $ ont été volés jusqu’à présent.”
Des captures d’écran publiées par l’investigateur en blockchain ont révélé que les e-mails envoyés aux investisseurs contenaient des offres de faux largages conçues pour inciter les destinataires à cliquer sur les liens dans l’e-mail. Tous les e-mails étaient conçus dans le même but, bien que les escrocs aient donné plusieurs raisons différentes pour les faux largages.
Diverses fausses offres
En ce qui concerne WalletConnect, les pirates informatiques ont affirmé que les largages faisaient partie d’une “occasion spéciale” et exprimaient leur gratitude aux membres de leur communauté. Pendant ce temps, les utilisateurs de la plateforme de jetons ont été informés que les jetons gratuits étaient destinés à célébrer une nouvelle étape : la révélation de la version bêta de la plate-forme.
Les utilisateurs de De.Fi ont été amenés à croire que le largage faisait partie du lancement d’options de participation innovantes sur la plateforme Launchpad. En revanche, les utilisateurs de Cointelegraph ont été informés que la maison de crypto-monnaie célébrait son 10e anniversaire. Un aspect intéressant à noter est que les adresses e-mail utilisées pour les attaques de phishing ne présentaient aucune différence notable par rapport aux adresses légitimes des entreprises imitées. Cela a conduit plusieurs victimes potentielles à tomber dans le piège. ZachXBT a déclaré qu’à ce jour, 580 000 $ avaient été volés aux utilisateurs.
Les entreprises mettent en garde les utilisateurs
Alors que les nouvelles concernant les attaques de phishing coordonnées se répandaient, les entreprises touchées ont publié plusieurs déclarations pour alerter les utilisateurs et se distancer des tentatives de piratage. Ils ont exhorté les utilisateurs à ne pas cliquer sur les liens de largage. WalletConnect, dans sa clarification, a déclaré,
“Nous sommes au courant d’un e-mail qui semble avoir été envoyé depuis une adresse e-mail liée à WalletConnect, incitant les destinataires à ouvrir un lien pour pouvoir revendiquer un largage. Nous pouvons confirmer que cet e-mail n’a pas été émis directement par WalletConnect ou par aucun affilié de WalletConnect et que le lien semble mener vers un site malveillant.”
Pendant ce temps, Cointelegraph a publié une alerte à la fraude et a déclaré qu’elle ne distribuait pas de largages. Sur la plateforme de médias sociaux X, la maison de crypto-monnaie a déclaré :
“Nous avons été informés que des escrocs se font passer pour Cointelegraph. Cointelegraph ne distribue pas de largages. Veuillez ne pas répondre ou cliquer sur les liens envoyés dans vos DM/COURRIEL par quiconque prétendant faire partie de l’équipe de Cointelegraph.”
Token Terminal a également confirmé que l’e-mail était faux.
La racine du problème
Alors que les enquêtes sont en cours, De.Fi a découvert que toute l’incident a eu lieu en raison de Mailer Lite. Mailer Lite est un fournisseur de services de messagerie également utilisé par les autres entreprises touchées par le piratage. De.Fi a déclaré qu’il était déjà en train de déménager ses bases de données vers un autre fournisseur.
“Nous sommes déjà en train de déménager nos bases de données vers un autre fournisseur pour garantir une plus grande sécurité à nos utilisateurs.”
Le pirate aurait utilisé une vulnérabilité dans Mailer Lite pour imiter les entreprises Web3, donnant l’impression que la société envoyait les liens. Au lieu de cela, les e-mails contenaient des liens connectés à des sites drainant les portefeuilles. Blockaid a expliqué,
“Les attaquants ont profité du fait que Mailer Lite avait précédemment reçu la permission d’envoyer des e-mails au nom de ces domaines de site, leur permettant de créer des e-mails qui semblaient provenir de ces organisations. Plus précisément, ils ont utilisé des enregistrements DNS “pendentifs”, qui ont été créés et associés à Mailer Lite (précédemment utilisés par ces entreprises). Après la fermeture de leurs comptes, ces enregistrements DNS restent actifs, donnant aux attaquants l’opportunité de revendiquer et d’imiter ces comptes.”
Avis de non-responsabilité : Cet article est fourni à des fins d’information uniquement. Il n’est pas offert ou destiné à être utilisé à des fins juridiques, fiscales, d’investissement, financières ou autres.
