Falsi giornalisti di CoinMarketCap prendono di mira i dirigenti del settore delle criptovalute in una campagna di spear-phishing

I falsi profili dei giornalisti di CoinMarketCap utilizzati per azioni di spear-phishing prendono di mira i dirigenti del settore delle criptovalute tramite interviste su Zoom, rischiando di diffondere malware, furto di dati e perdita del portafoglio.

Una nuova campagna di spear-phishing sta prendendo di mira i dirigenti del settore delle criptovalute attraverso false richieste di interviste. Gli aggressori si spacciano per giornalisti affiliati a CoinMarketCap , utilizzando i loro profili attivi sul sito web dell'azienda per apparire legittimi.

Gli analisti di threat intelligence hanno identificato una campagna di spear-phishing rivolta ai dirigenti del settore delle criptovalute. L'aggressore utilizza il nome esatto e la foto di un ex collaboratore di CoinMarketCap per creare un rapporto di fiducia.

Contattato direttamente, il soggetto impersonato ha confermato di non essere più affiliato a CoinMarketCap. Tuttavia, il suo nome e la sua foto rimangono pubblici, conferendo al tentativo di phishing un ulteriore livello di credibilità.

La truffa funziona così: i destinatari ricevono un'e-mail che li invita a partecipare a un'intervista sull'innovazione Web3 . Il messaggio sembra provenire dal team di CoinMarketCap, ma in realtà proviene da un dominio falso e non risolvibile, configurato solo per inviare e-mail.

Queste email sono scritte in modo professionale e non destano sospetti al di là del dominio stesso. Ognuna si conclude con un pulsante per programmare una chiamata Zoom tramite Calendly, mantenendo il marchio originale di CoinMarketCap.

Quando il bersaglio si unisce alla chiamata, gli vengono presentati due personaggi: Igor e Dirk (quest'ultimo impersona un ex redattore di CoinMarketCap, utilizzando il suo vero nome e l'immagine del profilo visualizzata tramite Zoom).

Dopo una breve introduzione e qualche chiacchiera, Igor chiede al bersaglio di cambiare la lingua dell'applicazione in polacco, sostenendo che altrimenti la sua app per prendere appunti non funzionerebbe correttamente. Chiacchiera persino con il suo complice, dicendo qualcosa del tipo: "Proprio come abbiamo fatto l'ultima volta con l'altra intervista. Dirk, aiutami a cambiare la lingua in polacco anche da parte tua".

Coglie quindi l'occasione per chiedere informazioni sul sistema operativo della vittima per "aiutarla a cambiare la lingua". Questo processo porta al riavvio di Zoom, che ora funziona in polacco.

L'intervista riprende e, pochi minuti dopo, appare un pop-up in polacco con due opzioni, una delle quali evidenziata in blu. È un messaggio standard di Zoom che recita: "Un partecipante remoto desidera prendere il controllo del tuo schermo".

Accettare garantirebbe all'aggressore il pieno controllo sulla tastiera e sul mouse della vittima (sufficiente per distribuire malware, esfiltrare file o rubare credenziali e portafogli crittografici), il tutto sotto le mentite spoglie di una normale interazione con l'applicazione.

Gli autori delle minacce sfruttano la funzionalità di controllo remoto di Zoom perché è abilitata di default in molti ambienti aziendali e spesso passa inosservata come vettore di attacco. Gli utenti in genere non si aspettano che Zoom venga utilizzato in modo dannoso e, sebbene si possa pensare che si accorgano di qualcosa che non va, la maggior parte si distrae durante le chiamate.

In pratica, una volta concesso l'accesso remoto, l'implementazione di un malware può richiedere solo pochi secondi: aprire un prompt di esecuzione, incollare un comando e premere Invio è sufficiente per compromettere il sistema. Questa tattica si è dimostrata altamente efficace, soprattutto negli attacchi mirati contro i professionisti delle criptovalute, con vittime di alto profilo e influencer che hanno già lanciato pubblicamente l'allarme.

Questo approccio ricorda la recente ondata di attacchi ClickFix , in cui alle vittime viene chiesto di eseguire autonomamente i passaggi. La differenza è che l'aggressore esegue la procedura direttamente tramite controllo remoto, il che la rende notevolmente più pericolosa e imprevedibile.

Immagine C - Una registrazione reale degli attori della minaccia che impersonano i dipendenti di CoinMarketCap — Immagine C – Una registrazione reale degli attori della minaccia che impersonano i dipendenti di CoinMarketCap

Dominio: team-coinmarketcapcom

Dominio: contact-coinmarketcapcom

E-mail: dirk@team-coinmarketcapcom

E-mail: no-reply@contact-coinmarketcapcom

Pulse di intelligence originale: https://otx.alienvault.com/pulse/688bdd12087cf39d39d15839

HackRead

Falsi giornalisti di CoinMarketCap prendono di mira i dirigenti del settore delle criptovalute in una campagna di spear-phishing

Coglie quindi l'occasione per chiedere informazioni sul sistema operativo della vittima per "aiutarla a cambiare la lingua". Questo processo porta al riavvio di Zoom, che ora funziona in polacco.

Dominio: team-coinmarketcapcom

Dominio: contact-coinmarketcapcom

E-mail: dirk@team-coinmarketcapcom

E-mail: no-reply@contact-coinmarketcapcom

Pulse di intelligence originale: https://otx.alienvault.com/pulse/688bdd12087cf39d39d15839

HackRead

Falsi giornalisti di CoinMarketCap prendono di mira i dirigenti del settore delle criptovalute in una campagna di spear-phishing

Notizie simili

Falsi giornalisti di CoinMarketCap prendono di mira i dirigenti del settore delle criptovalute in una campagna di spear-phishing

Notizie simili

Gli hacker potrebbero prendere il controllo dei dispositivi Apple tramite immagini dannose: applica subito la patch!

La tecnologia aiuta il proprietario di un ristorante a riprendersi dopo un grave ictus

Falsi giornalisti di CoinMarketCap prendono di mira i dirigenti del settore delle criptovalute in una campagna di spear-phishing

Argos abbassa il prezzo dell'Apple iPad Air del 2025 a uno dei più bassi di sempre in un'offerta limitata

Specie di rane minacciate in via di recupero in Alberta