Coinbase dice que evitó un astuto ataque de 'phishing' para filtrar claves

El equipo de seguridad en el exchange de criptomonedas Coinbase ha revelado cómo contrarrestó un sofisticado ataque de phishing con el objetivo de filtrar claves privadas y contraseñas.

En una publicación de blog publicada el 8 de agosto, el exchange describió su descubrimiento e informe del incidente, que involucró la explotación de dos vulnerabilidades de 0 días en el navegador web de Mozilla Firefox.

Un ataque "altamente dirigido y pensado"

Los primeros pasos de la estafa de phishing, revela Coinbase, se remontan a finales de mayo de este año, cuando más de una docena de empleados del exchange recibieron un correo electrónico de un "Administrador de Becas de Investigación" aparentemente inofensivo de la Universidad de Cambridge. Viniendo de un dominio académico legítimo de Cambridge, el correo electrónico —y correos electrónicos similares posteriores— pasaron los filtros de seguridad sin ser detectados.

Sin embargo, las tácticas de los correos electrónicos cambiaron a mediados de junio: esta vez, la correspondencia contenía una URL que, cuando se abría en Firefox, podía instalar malware en la máquina del destinatario.

Coinbase señala que a las pocas horas de recibir este correo electrónico, detectó y cooperó con éxito con otras organizaciones para contrarrestar el ataque. En el momento del incidente, el exchange había enfatizado que no había encontrado evidencia de que la campaña estuviera dirigida a clientes de Coinbase.

Más de 200 personas en total, en varias organizaciones —no identificadas— además de Coinbase, finalmente fueron atacadas.

El objetivo eran las claves

Coinbase señala que los atacantes intentaban ganar tiempo, enviando múltiples correos electrónicos aparentemente legítimos desde cuentas académicas comprometidas, todos los cuales hicieron referencia a eventos académicos reales y se adaptaron estrechamente a los perfiles específicos de los objetivos de phishing. Después de estas rondas de correspondencia, intentaron infectar solo el 2.5% de los objetivos con la URL que alojaba el día 0.

Coinbase’s security response timeline

Cronología de respuesta de seguridad de Coinbase. Fuente: Coinbase Blog

El exchange revela que tan pronto como un empleado y alertas automáticas marcaron el sospechoso correo electrónico de mediados de junio, su equipo de respuesta encontró una manera rápida de contrarrestar la amenaza, capturando el día 0 del sitio de phishing mientras aún estaba marchando y de esta manera apuntar a ocultar la respuesta a los atacantes. La publicación del blog agrega:

“También revocamos todas las credenciales que estaban en la máquina y bloqueamos todas las cuentas que pertenecían al empleado afectado. Una vez que nos sentimos cómodos de haber logrado la contención en nuestro entorno, nos comunicamos con el equipo de seguridad de Mozilla y compartimos el código de explotación utilizado en este ataque".

Mozilla, por su parte, parchó una de las dos vulnerabilidades al día siguiente y la segunda dentro de esa misma semana.

El mes pasado, Cointelegraph informó sobre el arresto de un ciudadano israelí que presuntamente había robado criptomonedas por valor de USD 1,700 millones a través de una campaña de phishing dirigida a usuarios europeos.

Sigue leyendo: