Netskope wird im Gartner® Magic Quadrant™ für SASE-Plattformen erneut als Leader ausgezeichnet.Holen Sie sich den Bericht

Schließen
Schließen
Ihr Netzwerk von morgen
Ihr Netzwerk von morgen
Planen Sie Ihren Weg zu einem schnelleren, sichereren und widerstandsfähigeren Netzwerk, das auf die von Ihnen unterstützten Anwendungen und Benutzer zugeschnitten ist.
          Erleben Sie Netskope
          Machen Sie sich mit der Netskope-Plattform vertraut
          Hier haben Sie die Chance, die Single-Cloud-Plattform Netskope One aus erster Hand zu erleben. Melden Sie sich für praktische Übungen zum Selbststudium an, nehmen Sie an monatlichen Live-Produktdemos teil, testen Sie Netskope Private Access kostenlos oder nehmen Sie an Live-Workshops teil, die von einem Kursleiter geleitet werden.
            Ein führendes Unternehmen im Bereich SSE. Jetzt ein führender Anbieter von SASE.
            Netskope wird als Leader mit der weitreichendsten Vision sowohl im Bereich SSE als auch bei SASE Plattformen anerkannt
            2X als Leader im Gartner® Magic Quadrant für SASE-Plattformen ausgezeichnet
            Eine einheitliche Plattform, die für Ihre Reise entwickelt wurde
              Generative KI für Dummies sichern
              Generative KI für Dummies sichern
              Erfahren Sie, wie Ihr Unternehmen das innovative Potenzial generativer KI mit robusten Datensicherheitspraktiken in Einklang bringen kann.
                Moderne Data Loss Prevention (DLP) für Dummies – E-Book
                Moderne Data Loss Prevention (DLP) für Dummies
                Hier finden Sie Tipps und Tricks für den Übergang zu einem cloudbasierten DLP.
                  Modernes SD-WAN für SASE Dummies-Buch
                  Modernes SD-WAN für SASE-Dummies
                  Hören Sie auf, mit Ihrer Netzwerkarchitektur Schritt zu halten
                    Verstehen, wo die Risiken liegen
                    Advanced Analytics verändert die Art und Weise, wie Sicherheitsteams datengestützte Erkenntnisse anwenden, um bessere Richtlinien zu implementieren. Mit Advanced Analytics können Sie Trends erkennen, sich auf Problembereiche konzentrieren und die Daten nutzen, um Maßnahmen zu ergreifen.
                        Technischer Support von Netskope
                        Technischer Support von Netskope
                        Überall auf der Welt sorgen unsere qualifizierten Support-Ingenieure mit verschiedensten Erfahrungen in den Bereichen Cloud-Sicherheit, Netzwerke, Virtualisierung, Content Delivery und Software-Entwicklung für zeitnahen und qualitativ hochwertigen technischen Support.
                          Netskope-Video
                          Netskope-Schulung
                          Netskope-Schulungen helfen Ihnen, ein Experte für Cloud-Sicherheit zu werden. Wir sind hier, um Ihnen zu helfen, Ihre digitale Transformation abzusichern und das Beste aus Ihrer Cloud, dem Web und Ihren privaten Anwendungen zu machen.

                            New Phishing Technique Targeting Over 20 Crypto Wallets

                            Nov 10 2022

                            Overview of the Netlify Scam

                            Netskope Threat Labs spotted a new crypto-phishing attack that aims to steal sensitive data from crypto wallets, including private keys and security recovery phrases, disguising itself as a service to revoke stolen ERC (Ethereum Request for Comments) assets. The page was created and hosted with Netlify, which is a free cloud service to create websites and apps.

                            What makes this Netlify scamming technique novel is that the attacker is targeting 21 cryptocurrency wallets in the same page, eliminating the need to maintain individual websites for each type of crypto wallet, like we saw in the crypto-phishing campaigns we spotted in August and September. Those attacks were targeting multiple crypto wallets through a chained phishing attack abusing Google Sites and Microsoft Azure.

                            In this blog post, we will analyze this phishing page to demonstrate how this new technique works.

                            How the Netlify Crypto Phishing Attack Works

                            The phishing page is hosted with Netlify and the main page tries to lure the victim by mimicking a service to revoke stolen ERC assets. To lure the user to use the fake service the page offers a fake connection with 21 different cryptocurrency wallets, which include:

                            • MetaMask
                            • Trust
                            • Coinbase
                            • crypto.com
                            • Blockchain
                            • Binance Smart Chain
                            • Safepal
                            • Argent
                            • Fortmatic
                            • Aktionariat
                            • Keyring Pro
                            • BitKeep
                            • SparkPoint
                            • OwnBit
                            • Infinity Wallet
                            • Wallet.io
                            • Infinito
                            • Torus
                            • Nash
                            • BitPay
                            • imToken
                            Screenshot of the main phishing webpage, hosted on Netlify.
                            Phishing’s main webpage, hosted on Netlify.

                            Once the victim selects a cryptocurrency wallet to connect, the phishing page displays a fake modal that simulates a connection with the wallet’s service.

                            Example ofphishing simulating an initialization process with MetaMask.
                            Phishing simulating an initialization process with MetaMask.

                            Then, a new modal is displayed, asking the victim for sensitive data in order to proceed with the fake revoking service. It tries to steal three different types of data. The first one is the cryptocurrency private key

                            In this specific modal, there’s even a typo in the word “Revoke”.

                            Screenshot of phishing trying to steal the private key from a crypto wallet.
                            Phishing trying to steal the private key from a crypto wallet.

                            The second piece of data it tries to steal is the security recovery phrase, which can be used to import the wallet, as we explained in a previous blog post.

                            Screenshot of phishing trying to steal the security recovery phrase from a crypto wallet
                            Phishing trying to steal the security recovery phrase from a crypto wallet.

                            And lastly, it tries to steal a keystore file in JSON format.

                            Screenshot of phishing trying to steal the keystore file from a crypto wallet.
                            Phishing trying to steal the keystore file from a crypto wallet.

                            Once the “Revoke Signature” button is clicked, the webpage sends the sensitive data to the attacker through a POST request to the same page.

                            Example of POST request sending the private key to the attacker.
                            POST request sending the private key to the attacker.

                            Finally, after stealing the data, the page shows a message that says it was not possible to revoke and asks to try for another digital wallet. It also automatically closes the modal and opens a new one for a different wallet.

                            Screenshot of fake message displayed by the phishing page.
                            Fake message displayed by the phishing page.

                            These three pieces of sensitive data (privacy key, recovery phrase, and keystore JSON) that the attacker tries to steal can be all used to provide access to someone’s crypto wallet, allowing the attacker to exfiltrate currency.

                            Aside from these 21 targets, the webpage also contains an option to connect to “Other Wallets”, increasing the attack surface even more, covering possible crypto wallets that are not listed by the attacker.

                            Conclusions

                            This cryptocurrency wallet phishing technique shows how an attacker can increase the chances of success and also reduce their costs by targeting multiple crypto wallets at the same time with a single page hosted with a cloud application. We strongly recommend individuals to not enter sensitive details, such as private keys and secret recovery phrases, on unknown websites. If you’ve lost access to your account, please contact the official support for your wallet to verify the correct steps to follow.

                            Protection

                            Netskope Threat Labs is actively monitoring this campaign and has ensured coverage for all known threat indicators.

                            IOCs

                            Phishing URL

                            hxxps://revolknfts.netlify[.]app/index

                            author image
                            Gustavo Palazolo
                            Gustavo Palazolo is an expert in malware analysis, reverse engineering and security research, working many years in projects related to electronic fraud protection.
                            Gustavo Palazolo is an expert in malware analysis, reverse engineering and security research, working many years in projects related to electronic fraud protection.
                            Verbinden Sie sich mit Netskope

                            Subscribe to the Netskope Blog

                            Sign up to receive a roundup of the latest Netskope content delivered directly in your inbox every month.