Our early warning systems recently detected a spike in Binance related attacks.Our analysts investigated the spate of attacks to better understand what was happening behind the scenes and to get an idea of the impact of the attack.

Las banderas rojas

Binance es una de las marcas más populares en el mundo de las criptomonedas y tiene la reputación de ser generoso y recompensar financieramente a sus usuarios. Desafortunadamente, esto resulta en que terminan siendo fuertemente atacados por estafas de comercio de confianza. Recientemente, encontramos un kit de phishing que se estaba implementando agresivamente para apuntar a los usuarios de Binance. En el transcurso de algunas semanas, detectamos varios dominios involucrados en el alojamiento del kit, que incluyen:


 binancefund [.] net 

binanceforce [.] com 

binanceforce [.] net 

promovalue [.] neto

 binancevent [.] net 

binancebegin [.] com 

binancegiveaway [.] arriba


El kit anunciaba un sorteo gratuito de BTC alojado por Binance sin detalles sobre por qué se estaba haciendo el sorteo. El sitio hizo un trabajo convincente al imitar la apariencia de la nueva marca Binance para convencer a los usuarios de que pensaran que era un programa legítimo de Binance.


El kit anunciaba un sorteo gratuito de BTC alojado por Binance sin detalles sobre por qué se estaba haciendo el sorteo. El sitio hizo un trabajo convincente al imitar la apariencia de la nueva marca Binance para convencer a los usuarios de que pensaran que era un programa legítimo de Binance.

El modus operandi era una estafa típica de comercio de confianza, en la que se anima a las víctimas a enviar criptomonedas a un atacante con la promesa de recibir más criptomonedas. Este kit en particular pretendía devolver a la víctima 10 veces la cantidad de BTC enviada al atacante. El atacante incentivó aún más a la víctima a enviar más de 5 bitcoins prometiendo el doble de recompensa, casi suena demasiado bueno para ser verdad.

Un ataque de esta naturaleza generalmente se propagaría a través de redes de bots existentes, en Telegram, Twitter, Reddit u otras redes sociales populares entre la comunidad de cripto. Esto significa que una vez que un atacante ha configurado su kit y establecido su red de bots, el costo del ataque es relativamente bajo a partir de ese momento. Los pasos restantes incluyen la compra de un nombre de dominio y alojamiento, y la configuración de un certificado SSL. El bajo costo del ataque es parte de la razón por la que este estilo de ataque es tan desenfrenado dentro del espacio criptográfico.

Análisis del Kit


El atacante incluyó un código QR que las víctimas podían escanear convenientemente para enviar pagos con bitcoins. En este caso, el atacante utilizó las API de Google para generar el código QR.


La página de phishing también incluía una barra de animación que indicaba la cantidad de bitcoins que quedaba en el sorteo, lo que le daba al usuario una sensación de urgencia. Debajo de la barra de estado, había una tabla de transacciones falsas en tiempo real, dando la impresión de que las personas que participaban en el programa estaban recibiendo sus fondos.


Las transacciones estaban codificadas en el HTML de la página, por lo que obviamente todas las transacciones eran falsas.


El kit contactó a 9 IP en 2 países en 7 dominios para realizar 24 transacciones HTTP. Los certificados TLS fueron emitidos por Let’s Encrypt y son válidos por 3 meses. Los dominios se crearon en julio de 2019 y los registradores de dominios incluyeron NameCheap y nic.ru.


Los kits no usaban una billetera consistente, lo que significaba que los ataques estaban siendo realizados por diferentes atacantes o el atacante estaba tratando de evitar el análisis o la lista negra. Dado lo cerca que se llevaron a cabo los ataques entre sí, esto último parece más probable. En el momento de escribir este artículo, las direcciones de los atacantes habían recibido más de 0.2 BTC (~ $ 2,000) acumulativamente. La mayor parte de los fondos había sido recibida por 1Bn9D8yf6YtuA94T6Rhz1KbR6Kxr5p8dMy.


Como este estilo de ataque ha demostrado ser en gran medida rentable para los atacantes, esperamos que continúen aumentando en frecuencia. La lucha contra el phishing es una batalla implacable, y las empresas deben defenderse activamente para aumentar el costo de realizar ataques para disuadir a los phishers de apuntar a su marca.


IOC

Dirección BTC principal

1Bn9D8yf6YtuA94T6Rhz1KbR6Kxr5p8dMy

Domains

binancefund[.]net
binanceforce[.]com
binanceforce[.]net
promovalue[.]net
binancevent[.]net
binancebegin[.]com
binancegiveaway[.]top

Contactenos

Consultas? Comuníquese en Twitter o Telegram. Suscríbase a nuestra fuente RSS para recibir nuestras últimas actualizaciones.

No se pierda Nuestras Historias