A equipe de segurança da exchange de criptomoedas Coinbase revelou como ela impediu um sofisticado ataque de phishing que tinha o objetivo de surrupiar chaves privadas e senhas.

Em um post publicado no dia 8 de agosto, a exchange descreveu a descoberta e relatou o incidente, que envolveu a exploração de duas vulnerabilidades de Dia 0 no navegador Mozilla Firefox.

Um ataque "altamente direcionado e pensado"

Os primeiros passos da tentativa de phishing, revela a Coinbase, datam do final de maio deste ano, quando mais de uma dúzia de funcionários da exchange receberam um e-mail de um “Administrador de Auxílio à Pesquisa” aparentemente inócuo da Universidade de Cambridge. 

O email - e emails subsequentes semelhantes - passaram pelos filtros de segurança sem serem detectados.

Porém, as táticas dos e-mails mudaram em meados de junho: desta vez, a correspondência continha uma URL que, quando aberta no Firefox, podia instalar malware na máquina do destinatário.

A Coinbase observa que poucas horas após o recebimento deste e-mail, ela detectou e cooperou com sucesso com outras organizações para combater o ataque. No momento do incidente, a exchange enfatizou que não havia encontrado nenhuma evidência da campanha direcionada aos clientes da Coinbase.

Mais de 200 pessoas no total, através de várias organizações - que não foram identificadas - que não a Coinbase, acabaram sendo alvo do ataque.

Principais tópicos

A Coinbase observa que os invasores esperaram seu tempo, enviando vários e-mails de aparência legítima a partir de contas acadêmicas comprometidas, todos com referências a eventos acadêmicos reais e imitando muito bem os perfis específicos de alvos de phishing.

Após essas rodadas de correspondência, eles tentaram infectar apenas 2,5% dos alvos com a URL que hospeda o Dia 0.

 

Coinbase’s security response timeline

Linha do tempo de resposta da equipede segurança da Coinbase. Fonte: Coinbase Blog

A conversa revela que, tanto quando um funcionário e os alertas automáticos sinalizaram o e-mail suspeito de meados de junho, sua equipe de resposta encontrou uma maneira rápida de combater a ameaça, capturando o Dia 0 do site de phishing enquanto este ainda estava ativo e desta forma, visando esconder a resposta da atenção dos atacantes.

A postagem do blog adiciona:

“Também revogamos todas as credenciais que estavam na máquina e bloqueamos todas as contas pertencentes ao funcionário afetado. Quando nos sentimos confortáveis por termos conseguido contenção em nosso ambiente, contatamos a equipe de segurança da Mozilla e compartilhamos o código de exploração usado neste ataque.”

A Mozilla, por sua vez, corrigiu uma das duas vulnerabilidades no dia seguinte e a segunda na mesma semana.

No mês passado, o Cointelegraph informou sobre a prisão de um cidadão israelense que teria roubado 1,7 bilhão de dólares em cripto através de uma campanha de phishing direcionada a usuários europeus.