El robo de la billetera criptográfica MetaMask supera la seguridad de Microsoft 365



Los investigadores han descubierto un ataque de phishing de credenciales basado en correo electrónico dirigido a usuarios de MetaMask, una billetera de criptomonedas utilizada para interactuar con la cadena de bloques Ethereum.

La campaña está dirigida a los usuarios de Microsoft 365 (anteriormente Microsoft Business 365) y se ha dirigido a múltiples organizaciones de la industria financiera. Comienza con un correo electrónico de ingeniería social que parece un correo electrónico de verificación de MetaMask, según el equipo de investigación Armorbloxque contiene un enlace.

Al hacer clic en el enlace, los usuarios son llevados a una página de verificación de MetaMask falsificada, donde se les pide que verifiquen su billetera, alegando que el incumplimiento daría como resultado un acceso limitado a sus billeteras.

La página de inicio falsa utiliza los logotipos y la marca de MetaMask para parecerse mucho a la página de inicio de sesión genuine, e implementa un lenguaje de urgencia para fomentar el cumplimiento de la solicitud de verificación Conozca a su cliente (KYC).

«Para que la víctima cumpliera con la solicitud y filtrara datos confidenciales, los atacantes incluyeron lenguaje tanto en el cuerpo del correo electrónico como en la página de destino falsa que denotaba un sentido de urgencia, dando a entender que el tiempo era esencial». las notas de publicación de Armorblox.

El equipo de investigación también señaló que el ataque aprovecha el efecto de la curiosidad, un sesgo cognitivo que se puede utilizar para explotar la necesidad inherente del usuario de resolver dudas.

«Cada compromiso adicional a través del flujo de ataque tenía como objetivo aumentar esta confianza a través de inclusiones legítimas de logotipos, marcas y atributos clave que solo están afiliados a la marca falsificada», continúa la publicación.

El ataque supera la seguridad de Microsoft

A pesar de que el correo electrónico provenía de un dominio no válido, los atacantes aún pudieron pasar los controles de seguridad de Microsoft, utilizando una «gama de técnicas» para eludir los filtros de la puerta de enlace de correo electrónico seguro (SEG).

El CSO de Armorblox, Brian Johnson, señala que si bien el equipo de investigación de la compañía no tiene acceso a los detalles de detección de amenazas de Microsoft, han visto una gran cantidad de ataques modernos que generan enlaces maliciosos de día cero que son de naturaleza efímera.

«Con la llegada de los servicios en la nube, es fácil activar y desactivar enlaces maliciosos en minutos», explica. «Estos ataques solo se pueden detectar cuando se combina la comprensión del lenguaje pure con la inteligencia artificial para ir más allá de los controles estáticos de enlaces maliciosos conocidos».

Para protegerse contra este tipo de ataques, Johnson dice que los pasos básicos incluyen garantizar la autenticación multifactor (MFA) en todas las cuentas de la organización, específicamente, las que brindan acceso a las cuentas financieras.

La publicación de Armorblox también recomienda estar atento a las señales de ingeniería social, por ejemplo, cualquier inconsistencia lógica dentro del correo electrónico, y aumentar la seguridad del correo electrónico nativo con controles adicionales.

Ataques de criptomonedas en evolución, dirigidos a empresas emergentes

Johnson agrega que el phishing de criptobilleteras se ha vuelto más específico y generalizado.

«A medida que el uso de las criptomonedas gana terreno tanto en el entorno personal como en el empresarial, abre otro vector para los actores malintencionados», advierte Johnson.

Los enfoques de los piratas informáticos para comprometer las criptomonedas y los intercambios de activos digitales continúan evolucionando, ya que una serie de ataques contra pequeñas y medianas empresas ha provocado importantes pérdidas de criptomonedas para las víctimas.

Entre estos actores maliciosos se encuentra BlueNoroff, un grupo de amenazas persistentes avanzadas (APT) que forma parte del Grupo Lazarus más grande asociado con Corea del Norte, que llevó a cabo la campaña SnatchCrypto en enero.

Mientras tanto, la mezcla de criptomonedas, una técnica que utiliza grupos de criptomonedas para complicar el seguimiento de las transacciones electrónicas, crecerá, ya que el ransomware y otras empresas ciberdelincuentes se inclinan cada vez más hacia las criptomonedas, advirtió un informe de noviembre de 2021 de Intel 471.



Enlace a la noticia authentic