Un ciberdelincuente que ha estado creando sitios web que imitan el servicio de mensajes autodestructivo privnote.com Recientemente expusieron accidentalmente la amplitud de sus operaciones cuando amenazaron con demandar a una empresa de software. La divulgación reveló una red rentable de sitios de phishing que se comportan y se parecen al Privnote real, excepto que cualquier mensaje que contenga direcciones de criptomonedas se modificará automáticamente para incluir una dirección de pago diferente controlada por los estafadores.
El verdadero Privnote, en privnote.com.
Lanzado en 2008, privnote.com emplea tecnología que cifra cada mensaje de modo que ni siquiera Privnote puede leer su contenido. Y no envía ni recibe mensajes. Crear un mensaje simplemente genera un enlace. Cuando se hace clic o se visita ese enlace, el servicio advierte que el mensaje desaparecerá para siempre después de leerlo.
La facilidad de uso y la popularidad de Privnote entre los entusiastas de las criptomonedas lo han convertido en un objetivo permanente de los phishers, que construyen clones de Privnote que funcionan más o menos como se anuncia, pero también inyectan silenciosamente sus propias direcciones de pago de criptomonedas cuando se crea una nota que contiene billeteras criptográficas.
El mes pasado, un nuevo usuario en GitHub llamado fory66399 presentó una queja en la página de “problemas” para MetaMáscarauna billetera de criptomonedas de software utilizada para interactuar con la cadena de bloques Ethereum. Fory66399 insistió en que su sitio web: nota privada[.]co – estaba siendo marcado erróneamente como malicioso en la lista de “eth-phishing-detect” de MetaMask.
“¡Presentamos una demanda ante un abogado por agregar deshonestamente un sitio a la lista de bloqueo, dañar la reputación, además de ignorar al departamento de moderación e ignorar las respuestas!” fory66399 amenazado. “¡Proporcione pruebas o exigiré una compensación!”
Gerente principal de producto de MetaMask Taylor Monahan respondió publicando varias capturas de pantalla de privnote[.]co que muestra el sitio efectivamente intercambió direcciones de criptomonedas.
Después de que le dijeron dónde podían enviar una copia de su demanda, Fory66399 pareció ponerse nervioso y procedió a mencionar otros nombres de dominio interesantes:
¡Me enviaste capturas de pantalla de algún otro sitio! ¡¡¡¡Es rojo!!!!
El sitio web tornote.io tiene un color completamente diferente
¡El sitio web privatenote,io también tiene un color diferente! ¿¿¿¿¿Qué ocurre?????
Una búsqueda en DomainTools.com para nota privada[.]io muestra que ha estado registrado con dos nombres durante la misma cantidad de años, incluido Andrei Sokol de Moscú y Alexandr Ermakov de Kiev. No hay indicios de que estos sean los nombres reales de los phishers, pero los nombres son útiles para señalar otros sitios dirigidos a Privnote desde 2020.
DomainTools dice que otros dominios registrados a nombre de Alexandr Ermakov incluyen primera nota[.]com, mensaje privado[.]neto, nota privada[.]yoy tornote[.]yo.
Una captura de pantalla del dominio de phishing privatemessage dot net.
Los registros de registro de pirvnota.[.]com en un momento fueron actualizados de Andrey Sokol a “BPW” como organización registrante, y “distrito de tambov” en el campo estado/provincia del registrante. La búsqueda en DomainTools de dominios que incluyan ambos términos revela nota pirw[.]com.
Otros dominios de phishing de Privnote que también llamaron a casa a la misma dirección de Internet que pirwnote[.]com incluye nodo privado[.]com, privado[.]comy renacerás[.]com. Pirwnote[.]com vende actualmente cámaras de seguridad fabricadas por el fabricante chino Hikvision, a través de una dirección de Internet con sede en Hong Kong.
Parece que alguien ha hecho todo lo posible para hacer tornote.[.]io parece un sitio web legítimo. Por ejemplo, esta cuenta en Medium fue autora de más de una docena de publicaciones de blog el año pasado alabando a Tornote como un servicio de mensajería seguro y autodestructivo. Sin embargo, las pruebas muestran que tornote[.]io también reemplazará cualquier dirección de criptomoneda en los mensajes con su propia dirección de pago.
Estos sitios de notas maliciosas atraen visitantes a través de los resultados de los motores de búsqueda de juegos para que los dominios de phishing aparezcan de manera destacada en los resultados de búsqueda de “privnote”. Una búsqueda en Google de “privnote” arroja actualmente tornote[.]io como quinto resultado. Al igual que otros sitios de phishing vinculados a esta red, Tornote utilizará las mismas direcciones de criptomonedas durante aproximadamente 5 días y luego rotará en nuevas direcciones de pago.
Tornote cambió la dirección de criptomoneda ingresada en una nota de prueba a esta dirección controlada por los phishers.
A lo largo de 2023, Tornote estuvo alojado en el proveedor ruso DDoS-Guard, en la dirección de Internet 186.2.163[.]216. Una revisión de los registros DNS pasivos vinculados a esta dirección muestra que, aparte de los subdominios dedicados a tornote[.]io, el otro dominio principal en esta dirección era hkleaks[.]ml.
En agosto de 2019, una serie de sitios web y canales de redes sociales denominados “HKLEAKS” comenzaron a manipular las identidades y la información personal de activistas prodemocracia en Hong Kong. Según un informe (PDF) de Laboratorio ciudadanohkleaks[.]ml fue el segundo dominio que apareció cuando los perpetradores comenzaron a ampliar la lista de doxed.
HKleaks, indexado por The Wayback Machine.
DomainTools muestra que hay más de 1000 dominios más cuyos registros de registro incluyen el nombre de la organización “BPW” y “Distrito de Tambov” como ubicación. Prácticamente todos esos dominios se registraron a través de uno de los dos registradores: con sede en Hong Kong. Nicenic y con sede en Singapur WebCC – y casi todos parecen estar relacionados con phishing o spam de pastillas.
Entre esos esta oxidador[.]informaciónun sitio web creado después de que Rusia invadió Ucrania a principios de 2022 que engañaba a los rusos que percibían que habían ayudado a la causa ucraniana.
Una copia de Archive.org de Rustraitor.
De acuerdo con el tema general, estos dominios de phishing parecen centrados en robar nombres de usuario y contraseñas de algunas de las tiendas más concurridas del mundo del cibercrimen, incluido Brian’s Club. ¿Qué tienen en común todos los sitios phishing? Todos aceptan pagos mediante monedas virtuales.
Parece que Monahan de MetaMask tomó la decisión correcta al obligar a estos phishers a revelar sus intenciones: entre los sitios web en esa dirección DDoS-Guard hay múltiples dominios de phishing de MetaMask, incluidos metarnask[.]com, metro de madera[.]comy rnetamask[.]com.
¿Qué tan rentables son estos sitios privados de phishing de notas? Revisando las cuatro direcciones de pago de criptomonedas maliciosas que los atacantes intercambiaron en notas pasadas a través de privnote[.]co (como se muestra en la captura de pantalla de Monahan anterior) muestra que entre el 15 y el 19 de marzo de 2024, esas direcciones recaudaron y transfirieron casi $18,000 en criptomonedas. Y ese es sólo uno de sus sitios web de phishing.
Fuente Original Krebs on Security
