Golpistas estão se passando pelo agente de reivindicação de falências para o credor de cripto Celsius em ataques de phishing que tentam roubar fundos de carteiras de criptomoedas.
Em julho de 2022, o credor de criptomoedas Celsius entrou com um pedido de falência e congelou as retiradas de contas de usuários.
Desde então, os clientes entraram com reivindicações contra a empresa, na esperança de recuperar uma parte dos fundos.
Nos últimos dias, as pessoas relataram receber e-mails de phishing fingindo ser da Stretto, o Agente de Reivindicações para o processo de falência da Celsius.
Um destinatário compartilhou o e-mail de phishing com o BleepingComputer, que alega oferecer aos credores uma janela de saída de 7 dias para reivindicar seus fundos congelados.
O e-mail diz que é de "Stretto Corporate Restructing", usando o endereço de e-mail [email protected], conforme mostrado abaixo.
O e-mail de phishing inclui um link para o site case-stretto[.]com, que redireciona o destinatário para o site de phishing claims-stretto[.]com abaixo.
O domínio claims-stretto[.]com foi registrado hoje e é hospedado por um provedor de hospedagem na web nas Seychelles.
O site legítimo da Stretto para reivindicações da Celsius está localizado no https://cases.stretto.com/celsius/claims/.
A página solicita que os visitantes insiram seu endereço de e-mail para retirar sua reivindicação e, quando o botão enviar é pressionado, abre uma solicitação da WalletConnect para conectar sua carteira de criptomoedas instalada ao site.
Se você conectar uma carteira, o site agora terá acesso a todas as informações armazenadas nela, incluindo endereços de cripto, saldos, atividades e a capacidade de sugerir transações.
Com essa conexão estabelecida, os atores da ameaça podem tentar drenar todos os ativos e NFTs armazenados na carteira, disfarçando a transação como um depósito.
Essa campanha de phishing se destaca porque os e-mails passam nas verificações do Sender Policy Framework (SPF), que determinam se um e-mail vem de um servidor de e-mail válido para o domínio de envio.
SPF realiza essa verificação comparando o endereço IP do servidor de correio que envia o e-mail com uma lista de endereços IP encontrados no registro DNS SPF para o domínio usado no cabeçalho de correio 'Return-Path'.
Neste caso, o caminho de retorno do e-mail de phishing é '[email protected]', com em6462.stretto.com tendo um registro SPF de v=spf1 ip4:149.72.171.199 -all.
Este registro SPF significa que qualquer e-mail de 149.72.171.199 deve ser considerado válido e não marcado como spam.
Como esses e-mails de phishing são originários de 149.72.171.199, que pertence à firma de marketing por e-mail SendGrid, eles passam na verificação do SPF e são autorizados para entrega.
Isso é ilustrado abaixo (algumas informações estão redigidas), onde o e-mail é entregue com sucesso ao Gmail após passar nas verificações do SPF.
Um destinatário de um desses e-mails de phishing informou ao BleepingComputer que não tinha uma conta na Celsius e nunca entrou como credor, o que torna estranho receber este e-mail.
Os atores da ameaça provavelmente estão usando listas de contatos mais antigas, roubadas anteriormente por contas de marketing de criptomoedas invadidas.
O BleepingComputer entrou em contato com a Stretto para confirmar se sua conta SendGrid foi comprometida para enviar esses e-mails, mas não recebeu uma resposta.
Se você receber um e-mail alegando ser sobre reivindicações da Celsius, por favor, ignore e verifique se há novas atualizações sobre o caso no site legítimo https://cases.stretto.com/celsius/.
Infelizmente, se você já visitou um desses sites de phishing e perdeu fundos ou NFTs após conectar sua carteira, provavelmente não há como recuperar seus ativos.
Celsius já relatou ataques de phishing semelhantes usados para roubar fundos de credores.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...