El engaño de violación de datos utilizado para secuestrar carteras de criptomonedas

Los ciberdelincuentes han lanzado una nueva campaña de phishing dirigida a los usuarios de la billetera Ledger que utiliza notificaciones falsas de violación de datos para robar su criptomoneda.

Ledger fabrica carteras de criptomonedas físicas que permiten a los usuarios almacenar, administrar y vender criptomonedas como bitcoin. Los fondos almacenados en las carteras de la empresa se protegen mediante una frase de recuperación de 24 palabras, aunque sus dispositivos también admiten frases de recuperación de 12, 18 o 24 palabras utilizadas por otros. carteras de criptomonedas. Como la fase de recuperación de una billetera se puede usar para acceder a los fondos de un usuario, deben almacenarse fuera de línea y no compartirse con otros para evitar el robo de criptomonedas.

En julio de este año, Ledger sufrió una violación de datos cuando una vulnerabilidad en el sitio web de la empresa permitió a los ciberdelincuentes acceder a la información de contacto de los clientes. En ese momento, la empresa envió un correo electrónico a los 9.500 clientes afectados con más información sobre el ataque.

A partir de octubre, los ciberdelincuentes comenzaron a enviar correos electrónicos falsos a los usuarios con respecto a una nueva violación de datos de Ledger. Estos correos electrónicos pidieron a los usuarios afectados por la infracción que instalaran la última versión de Ledger Live, diciendo:

"Lamentamos informarle que hemos sido alertados de una filtración de datos que afecta datos confidenciales pertenecientes a aproximadamente 115.000 de nuestros clientes, que incluye información personal, claves privadas y públicas cifradas mediante código PIN, así como la cantidad de cada criptomoneda almacenada en la billetera ".

Notificaciones de violación de datos falsas

Esta nueva campaña de phishing es lo suficientemente inteligente porque juega con los temores de los usuarios de Ledger que recibieron un correo electrónico hace unos meses informándoles de una violación de datos real. Los correos electrónicos de notificación de violación de datos falsos también utilizan caracteres Punycode para hacerse pasar por el sitio web de la empresa mediante caracteres acentuados o cirílicos. Esto significa que los usuarios pueden pensar que están visitando ledger.com cuando en realidad están haciendo clic en un enlace a https: // ledģėr[.]com.

Después de visitar el sitio falso, se solicita a los usuarios que descarguen la aplicación Ledger Live para dispositivos móviles o de escritorio. Los enlaces a las versiones móviles de la aplicación son auténticos, pero el enlace a la versión de escritorio descarga una aplicación Ledger Live falsa que está diseñada para ser casi idéntica a la versión legítima.

Cuando un usuario hace clic en la opción "Restaurar dispositivos desde la frase de recuperación" en la aplicación falsa, se le solicita que ingrese su frase de recuperación, que luego se devuelve a un dominio controlado por los atacantes. La aplicación falsa también les pide a los usuarios su contraseña, y con ambas en la mano, los atacantes pueden obtener acceso completo a la billetera de un usuario y robar todas sus criptomonedas.

Para evitar ser víctimas de esta nueva campaña de phishing, los usuarios de Ledger deben tener mucho cuidado al revisar sus correos electrónicos y evitar hacer clic en los enlaces a Ledger.com en los correos electrónicos que terminan en su correo electrónico. bandejas de entrada. Ledger planea publicar una página de estado de phishing la próxima semana para proporcionar a sus usuarios más información sobre estos ataques en curso.

Vía BleepingComputer