El 23 de enero, los usuarios de múltiples protocolos Web3 fueron víctimas de una masiva campaña de phishing llevada a cabo por estafadores. Hasta el momento, se han perdido más de USD 580,000 en criptomonedas en el ataque, que utilizó correos electrónicos enviados desde las direcciones de correo electrónico oficiales de los protocolos Web3 WalletConnect, TokenTerminal, Social.Fi y De.Fi, así como de Cointelegraph.

Aquí hay una cronología de lo sucedido:

10:03 am UTC: WalletConnect anuncia que sus usuarios han estado recibiendo correos electrónicos maliciosos. "Somos conscientes de un correo electrónico que parece haber sido enviado desde una dirección de correo electrónico vinculada a WalletConnect instando a los destinatarios a abrir un enlace para poder reclamar una entrega aérea", indica el anuncio. "Podemos confirmar que este correo electrónico no fue emitido directamente por WalletConnect ni por ninguna filial de WalletConnect, y que el enlace parece llevar a un sitio malicioso".

El equipo de WalletConnect afirma que está trabajando con la firma de seguridad blockchain Blockcaid para determinar cómo el atacante ha obtenido acceso al dominio de correo electrónico del equipo. Posteriormente, Blockaid comparte el informe desde su propia cuenta X.

10:11 am UTC: Cointelegraph recibe una alerta en Telegram de que su dirección de correo electrónico oficial está enviando correos electrónicos fraudulentos a suscriptores. El personal de Cointelegraph también comenzó a informar internamente que había recibido el correo electrónico malicioso. El correo electrónico (captura de pantalla a continuación) pretende ser una "Entrega aérea exclusiva del 10º aniversario de Web3" y enlaza a un protocolo Web3 malicioso.

Correo electrónico malicioso enviado desde la dirección de correo electrónico oficial de Cointelegraph. Fuente: Escritor de Cointelegraph.

El departamento de TI de Cointelegraph fue alertado de inmediato sobre el problema, quienes a su vez contactaron a su proveedor de correo electrónico, MailerLite, en un intento de determinar la causa. Mientras tanto, el equipo de TI de Cointelegraph bloqueó con éxito los enlaces maliciosos, evitando que se enviaran a otras personas.

Cointelegraph también publica en X y otras plataformas de redes sociales advirtiendo que no está promocionando una entrega aérea y que los usuarios no deben hacer clic en enlaces de correos electrónicos que afirmen lo contrario.

Aproximadamente a las 11 am: Cointelegraph se entera del informe de WalletConnect y comienza una investigación. Se pone en contacto con Blockcaid en un intento de obtener más información. Poco después, ZachXBT informa en Telegram que el ataque de phishing proviene de "CoinTelegraph, WalletConnect, Token Terminal y De.Fi".

11:41 am: Cointelegraph publica una noticia sobre el hackeo

Approximately noon: Cointelegraph publica una noticia sobre la amplia campaña de phishing, que ahora afecta al menos a cinco sitios web y protocolos diferentes. Al momento en el que salió la noticia se habían robado criptomonedas por valor de más de USD 580,000.

1:34 pm: El servicio de ciberseguridad Hudson Rock publica un informe afirmando que descubrió malware en una PC perteneciente a un empleado del servicio de correo electrónico MailerLite, el mismo servicio de correo electrónico utilizado por todos los sitios web que enviaron los correos electrónicos maliciosos. Hudson Rock teoriza que este malware pudo haber permitido al atacante acceder a los servidores de MailerLite, lo que podría explicar cómo ocurrió la campaña de phishing. Cointelegraph actualiza la cobertura para incluir las afirmaciones de Hudson Rock.

Según el informe, "los investigadores de Hudson Rock identificaron una computadora recientemente infectada de un empleado de MailerLite con accesos a URLs sensibles dentro de MailerLite y sus terceros". La computadora tenía acceso a las credenciales de inicio de sesión para la URL, https://admin.mailerlite.com/admin, que parece ser la página de inicio de sesión para empleados de MailerLite.

Además, la PC contenía cookies válidas para Slack.com y Office365, que podrían haberse utilizado para realizar secuestros de sesiones y obtener información privada. La firma de ciberseguridad afirma haber obtenido una imagen del escritorio del usuario en el momento del ataque, y esta imagen "revela que fueron comprometidos al intentar ejecutar un software infectado".

Supuesta imagen de la computadora de un empleado de MailerLite al momento del ataque. Fuente: Hudson Rock.

Hudson Rock advirtió que esta evidencia no demuestra que la campaña de phishing haya sido causada por esta infección de malware, ya que afirmaron que "es incierto si MailerLite sufrió una explotación o no". Sin embargo, la evidencia "ilustra cómo una sola infección de infostealer podría ser perjudicial para cualquier empresa" y proporciona una hipótesis plausible de cómo pudo haber sido posible la campaña de phishing.

4:55 pm: Blockaid publica un informe sobre los resultados de su investigación. Alega que el atacante "pudo aprovechar una vulnerabilidad en el proveedor de servicios de correo electrónico Mailer Lite para hacerse pasar por empresas web3, robando más de USD 600,000".

El proveedor de servicios de correo electrónico MailerLite ha respondido a las consultas de Cointelegraph, afirmando que actualmente está llevando a cabo su propia investigación. En el momento de la publicación, aún no había proporcionado su informe.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.