关键点
Silent Push 分析师使用专有扫描来发现与破产加密平台相关的消费者网络钓鱼域。
威胁行为者积极针对 Voyager 和摄氏度网络的前客户,通过提供全额退款的资产追回电子邮件。
恶意重定向用于通过欺骗合法域来窃取资产并从本地加密钱包获取凭证。
背景
威胁行为者经常关注热门新闻主题来构建冒充特定组织及其当前或以前客户的定制活动,其后果包括货币欺诈、大规模凭证和身份盗窃。
今年早些时候,我们发布了一篇博客,详细介绍了威胁行为者如何利用硅谷银行的倒闭,部署一系列使用退款诱饵的域来传播凭证盗窃行为。
我们的威胁分析师跟踪了一项活动,该活动试图欺骗两家破产加密公司(资产经纪公司Voyager和摄氏度贷方网络)的前客户,让攻击者能够访问他们的加密钱包和存储的凭据。
Voyager于 8 月 15 日关闭,联邦贸易委员会 (FTC) 禁止摄氏度处理客户资产,并指控三名前高管对其事务撒谎。
威胁行为者通过网络钓鱼电子邮件和恶意内容瞄准两家公司的前客户,试图欺骗这两家倒霉公司的前客户将他们的加密钱包与诈骗域名连接起来,以“恢复”丢失的资产。
Voyager 网络钓鱼活动
我们的研究始于一封来自“Stretto & Kirkland”的网络钓鱼电子邮件,该电子邮件由参与破产程序的两个名字组成,即 Voyager Digital Holdings 的法律顾问 Kirkland & Ellis LLP 和债务人的通知代理人 Stretto,该电子邮件声称为收款人提供一种将资金从已失效的 Voyager 账户转移到“指定加密钱包”的方法。
攻击者经常通过提供现实世界的金融机构和知名利益相关方作为诱饵来使网络钓鱼活动合法化。在纽约南区美国破产法院举行的Voyager 诉讼中,柯克兰·埃利斯 (Kirkland Ellis) 和斯特雷托 (Stretto) 均被提及:
图 1 - 观察到底部带有“立即撤回”链接的网络钓鱼电子邮件
该电子邮件敦促收件人在 30 天的时间内完成转账,以避免需要以美元进行交易,并提供一个 URL 链接以完成转账。
如果单击,该链接会将用户从 bigbrandaid.bigphew[.]com 重定向到investivoyager[.]com,该网站模拟合法域investvoyager[.]com。
图 2 - 带有“WITHDRAW”按钮的假 Voyager 域名
图 3 - 带有关闭消息的合法 Voyager 域
一旦用户点击网络钓鱼域上的“WITHDRAW”链接,该网站就会尝试与本地加密钱包(例如 MetaMask)建立连接,以试图窃取资产和/或凭证:
图 4 - 连接加密钱包的恶意域
探索互联基础设施
初始重定向域 - bigbrandaid.bigphew[.]com - 使用带有“voy”部分的开放目录,该目录通向网络钓鱼域:
图 5 - 在重定向域上打开目录
图 6 - 重定向到网络钓鱼站点
摄氏网络钓鱼活动
使用静默推送平台,我们能够查明与网络钓鱼域investivoyager[.]com相关的其他基础设施,包括可能由同一威胁组织运营的其他加密网络钓鱼域,包括针对上述摄氏网络的域:
图 7 - 与同一威胁参与者相关的加密相关基础设施
图 8 - 针对摄氏度客户提供“资产追回”服务的诈骗域名
这些域名很可能与 Voyager 活动中观察到的类似网络钓鱼电子邮件结合使用,或者威胁行为者正在等待债权人投票结果以批准摄氏度网络的破产计划。
我们团队发现的所有其他域名并非都与加密欺诈有关,但参与网络钓鱼的域名似乎只专注于加密平台。
PayPal 美元网络钓鱼活动
例如,以下域名冒充 PayPal USD(一种由美元支持的稳定币),并试图诱骗受害者连接本地加密钱包:
图 9 - 冒充 PayPal USD 的诈骗域名
同一个威胁参与者还使用 Doge 硬币主题托管一个网络钓鱼域,试图注入冒充加密钱包的本地硬币矿工:
图 10 - Doge coin 诈骗域名
图 11 - Doge 恶意软件分析
结论
FTX 丑闻发生后,随着加密货币行业在 2023 年继续经历严重的金融混乱,机会主义威胁团体将加密货币投资者视为唾手可得的果实,他们试图利用著名资产平台倒闭时随之而来的混乱。破产,让成千上万的用户赔钱,几乎没有希望获得全额退款。
IOCs
185.174.101[.]50
bigbrandaid.bigphew[.]com
investivoyager[.]com
celssius-network[.]com转载来源:https://www.silentpush.com/blog/voyager-and-the-celsius-network-scam
图片来源网络侵权可联系删除
