Golpistas estão se passando pelo agente de reivindicação de falências para o credor de cripto Celsius em ataques de phishing que tentam roubar fundos de carteiras de criptomoedas.
Em julho de 2022, o credor de criptomoedas Celsius entrou com um pedido de falência e congelou as retiradas de contas de usuários.
Desde então, os clientes entraram com reivindicações contra a empresa, na esperança de recuperar uma parte dos fundos.
Nos últimos dias, as pessoas relataram receber e-mails de phishing fingindo ser da Stretto, o Agente de Reivindicações para o processo de falência da Celsius.
Um destinatário compartilhou o e-mail de phishing com o BleepingComputer, que alega oferecer aos credores uma janela de saída de 7 dias para reivindicar seus fundos congelados.
O e-mail diz que é de "Stretto Corporate Restructing", usando o endereço de e-mail [email protected], conforme mostrado abaixo.
O e-mail de phishing inclui um link para o site case-stretto[.]com, que redireciona o destinatário para o site de phishing claims-stretto[.]com abaixo.
O domínio claims-stretto[.]com foi registrado hoje e é hospedado por um provedor de hospedagem na web nas Seychelles.
O site legítimo da Stretto para reivindicações da Celsius está localizado no https://cases.stretto.com/celsius/claims/.
A página solicita que os visitantes insiram seu endereço de e-mail para retirar sua reivindicação e, quando o botão enviar é pressionado, abre uma solicitação da WalletConnect para conectar sua carteira de criptomoedas instalada ao site.
Se você conectar uma carteira, o site agora terá acesso a todas as informações armazenadas nela, incluindo endereços de cripto, saldos, atividades e a capacidade de sugerir transações.
Com essa conexão estabelecida, os atores da ameaça podem tentar drenar todos os ativos e NFTs armazenados na carteira, disfarçando a transação como um depósito.
Essa campanha de phishing se destaca porque os e-mails passam nas verificações do Sender Policy Framework (SPF), que determinam se um e-mail vem de um servidor de e-mail válido para o domínio de envio.
SPF realiza essa verificação comparando o endereço IP do servidor de correio que envia o e-mail com uma lista de endereços IP encontrados no registro DNS SPF para o domínio usado no cabeçalho de correio 'Return-Path'.
Neste caso, o caminho de retorno do e-mail de phishing é '[email protected]', com em6462.stretto.com tendo um registro SPF de v=spf1 ip4:149.72.171.199 -all.
Este registro SPF significa que qualquer e-mail de 149.72.171.199 deve ser considerado válido e não marcado como spam.
Como esses e-mails de phishing são originários de 149.72.171.199, que pertence à firma de marketing por e-mail SendGrid, eles passam na verificação do SPF e são autorizados para entrega.
Isso é ilustrado abaixo (algumas informações estão redigidas), onde o e-mail é entregue com sucesso ao Gmail após passar nas verificações do SPF.
Um destinatário de um desses e-mails de phishing informou ao BleepingComputer que não tinha uma conta na Celsius e nunca entrou como credor, o que torna estranho receber este e-mail.
Os atores da ameaça provavelmente estão usando listas de contatos mais antigas, roubadas anteriormente por contas de marketing de criptomoedas invadidas.
O BleepingComputer entrou em contato com a Stretto para confirmar se sua conta SendGrid foi comprometida para enviar esses e-mails, mas não recebeu uma resposta.
Se você receber um e-mail alegando ser sobre reivindicações da Celsius, por favor, ignore e verifique se há novas atualizações sobre o caso no site legítimo https://cases.stretto.com/celsius/.
Infelizmente, se você já visitou um desses sites de phishing e perdeu fundos ou NFTs após conectar sua carteira, provavelmente não há como recuperar seus ativos.
Celsius já relatou ataques de phishing semelhantes usados para roubar fundos de credores.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...