Fuente: iStock / DragonImages El proveedor de billetera e intercambio de criptomonedas basado en EE. UU. Coinbase dio más detalles sobre el reciente intento de pirateo, y dijo que eran el objetivo de un ataque sofisticado cuidadosamente planeado que utilizaba tácticas de phishing / ingeniería social y dos Firefox vulnerabilidades de día cero. En la última publicación del blog de Coinbase, Philip Martin, Director de Seguridad de la Información de la compañía, explicó que en el transcurso de varias semanas, a partir del 30 de mayo, varios empleados de Coinbase recibieron un correo electrónico de una persona que decía ser Gregory Harris, un El Administrador de Becas de Investigación de la Universidad de Cambridge, que de ninguna manera parecía sospechoso, «provenía del dominio legítimo de Cambridge, no contenía elementos maliciosos, detectaba el spam y hacía referencia a los antecedentes de los destinatarios». Todo esto creó la sensación de que las víctimas estaban hablando con personas legítimas, dice Martin. El grupo, seguido por Coinbase como 'CRYPTO-3', también conocido como 'HYDSEVEN', creó los perfiles falsos de LinkedIn, comprometidos o crearon dos cuentas de correo electrónico, crearon una página de destino en la Universidad de Cambridge, registraron el dominio y clonaron o modificaron los existentes. Páginas de la Universidad de Cambridge, «haciéndolas disponibles en los directorios de almacenamiento personal de las cuentas controladas por el atacante». Sin embargo, después de buscar víctimas potenciales a través de múltiples correos electrónicos, «asegurándose de que fueran objetivos de alto rendimiento» de las personas que recibieron el correo electrónico inicial, el 2.5% recibió un enlace a la página que aloja el día cero. El 17 de junio, «Harris» envió un correo electrónico con «una URL que, cuando se abre en Firefox, instalará malware capaz de apoderarse de la máquina de alguien», que Coinbase detectó y bloqueó «en cuestión de horas», escribe Martin. Un día cero es una vulnerabilidad de software previamente desconocida o no tratada, y hubo dos de estos «encadenados» que el hacker probablemente descubrió de forma independiente y utilizó en su intento. A juzgar por los detalles descubiertos durante la investigación, como el rápido descubrimiento por parte del atacante del ciclo de vulnerabilidad a las armas y un código bien estructurado. «En general, se siente como el trabajo de un grupo que tiene una experiencia significativa en el desarrollo de exploits», dice Martin. El ataque se ejecutó en dos etapas: Identificar el sistema operativo y el navegador; mostrar un error convincente a los usuarios de macOS que no estaban usando Firefox e indicarles que instalen la última versión; entregar el código de explotación después de visitar la página en Firefox; utilizando el implante como «una carga inicial de reconocimiento y robo de credenciales». Coinbase dijo que detectó a los atacantes en la etapa uno. La carga útil de la etapa 2 probablemente se usó como RAT (un troyano de acceso remoto, un programa de malware que incluye una puerta trasera para el control administrativo sobre la computadora de destino). «Hemos observado que la actividad del implante en etapa 2 es consistente con el control humano directo», escribe Martin. Cuando un empleado y las alertas automáticas dieron la voz de alarma, comenzó la investigación, mientras que los atacantes probablemente aún no estaban al tanto de su respuesta. «Una vez que nos sentimos cómodos de haber logrado la contención en nuestro entorno», se comunicaron con el equipo de seguridad de Mozilla para compartir el código de explotación, que luego resolvió la vulnerabilidad de su parte, así como con la Universidad de Cambridge. Martin dice que más de 200 personas fueron atacadas por este atacante. Coinbase «identificó las organizaciones que emplean a estas personas para que podamos comunicarnos y brindar a sus equipos de seguridad la información que necesitan para proteger su infraestructura y proteger a sus empleados». Mira los últimos informes de Block TV. Leer más: ¿Quién permanece en el Club de intercambio no pirateado después del drama de Binance?

A %d blogueros les gusta esto: