fechar
fechar
Sua Rede do Amanhã
Sua Rede do Amanhã
Planeje seu caminho rumo a uma rede mais rápida, segura e resiliente projetada para os aplicativos e usuários aos quais você oferece suporte.
          Experimente a Netskope
          Coloque a mão na massa com a plataforma Netskope
          Esta é a sua chance de experimentar a plataforma de nuvem única do Netskope One em primeira mão. Inscreva-se em laboratórios práticos e individualizados, junte-se a nós para demonstrações mensais de produtos ao vivo, faça um test drive gratuito do Netskope Private Access ou participe de workshops ao vivo conduzidos por instrutores.
            Líder em SSE. Agora é líder em SASE de fornecedor único.
            Líder em SSE. Agora é líder em SASE de fornecedor único.
            A Netskope estreia como líder no Quadrante Mágico™ do Gartner® para Single-Vendor SASE
              Protegendo a IA generativa para leigos
              Protegendo a IA generativa para leigos
              Saiba como sua organização pode equilibrar o potencial inovador da IA generativa com práticas robustas de segurança de dados.
                E-book moderno sobre prevenção de perda de dados (DLP) para leigos
                Prevenção Contra Perda de Dados (DLP) Moderna para Leigos
                Obtenha dicas e truques para fazer a transição para um DLP fornecido na nuvem.
                  Livro SD-WAN moderno para SASE Dummies
                  SD-WAN moderno para leigos em SASE
                  Pare de brincar com sua arquitetura de rede
                    Compreendendo onde estão os riscos
                    O Advanced Analytics transforma a maneira como as equipes de operações de segurança aplicam insights orientados por dados para implementar políticas melhores. Com o Advanced Analytics, o senhor pode identificar tendências, concentrar-se em áreas de preocupação e usar os dados para tomar medidas.
                        Os 6 casos de uso mais atraentes para substituição completa de VPN herdada
                        Os 6 casos de uso mais atraentes para substituição completa de VPN herdada
                        O Netskope One Private Access é a única solução que permite que o senhor aposente sua VPN definitivamente.
                          A Colgate-Palmolive protege sua “propriedade intelectual "” com proteção de dados inteligente e adaptável
                          A Colgate-Palmolive protege sua “propriedade intelectual "” com proteção de dados inteligente e adaptável
                            Netskope GovCloud
                            Netskope obtém alta autorização do FedRAMP
                            Escolha o Netskope GovCloud para acelerar a transformação de sua agência.
                              Vamos fazer grandes coisas juntos
                              A estratégia de comercialização da Netskope, focada em Parcerias, permite que nossos Parceiros maximizem seu crescimento e lucratividade enquanto transformam a segurança corporativa.
                                Netskope solutions
                                Netskope Cloud Exchange
                                O Netskope Cloud Exchange (CE) oferece aos clientes ferramentas de integração poderosas para alavancar os investimentos em toda a postura de segurança.
                                  Suporte Técnico Netskope
                                  Suporte Técnico Netskope
                                  Nossos engenheiros de suporte qualificados estão localizados em todo o mundo e têm diversas experiências em segurança de nuvem, rede, virtualização, fornecimento de conteúdo e desenvolvimento de software, garantindo assistência técnica de qualidade e em tempo hábil.
                                    Vídeo da Netskope
                                    Treinamento Netskope
                                    Os treinamentos da Netskope vão ajudar você a ser um especialista em segurança na nuvem. Conte conosco para ajudá-lo a proteger a sua jornada de transformação digital e aproveitar ao máximo as suas aplicações na nuvem, na web e privadas.

                                      New Phishing Technique Targeting Over 20 Crypto Wallets

                                      Nov 10 2022

                                      Overview of the Netlify Scam

                                      Netskope Threat Labs spotted a new crypto-phishing attack that aims to steal sensitive data from crypto wallets, including private keys and security recovery phrases, disguising itself as a service to revoke stolen ERC (Ethereum Request for Comments) assets. The page was created and hosted with Netlify, which is a free cloud service to create websites and apps.

                                      What makes this Netlify scamming technique novel is that the attacker is targeting 21 cryptocurrency wallets in the same page, eliminating the need to maintain individual websites for each type of crypto wallet, like we saw in the crypto-phishing campaigns we spotted in August and September. Those attacks were targeting multiple crypto wallets through a chained phishing attack abusing Google Sites and Microsoft Azure.

                                      In this blog post, we will analyze this phishing page to demonstrate how this new technique works.

                                      How the Netlify Crypto Phishing Attack Works

                                      The phishing page is hosted with Netlify and the main page tries to lure the victim by mimicking a service to revoke stolen ERC assets. To lure the user to use the fake service the page offers a fake connection with 21 different cryptocurrency wallets, which include:

                                      • MetaMask
                                      • Trust
                                      • Coinbase
                                      • crypto.com
                                      • Blockchain
                                      • Binance Smart Chain
                                      • Safepal
                                      • Argent
                                      • Fortmatic
                                      • Aktionariat
                                      • Keyring Pro
                                      • BitKeep
                                      • SparkPoint
                                      • OwnBit
                                      • Infinity Wallet
                                      • Wallet.io
                                      • Infinito
                                      • Torus
                                      • Nash
                                      • BitPay
                                      • imToken
                                      Screenshot of the main phishing webpage, hosted on Netlify.
                                      Phishing’s main webpage, hosted on Netlify.

                                      Once the victim selects a cryptocurrency wallet to connect, the phishing page displays a fake modal that simulates a connection with the wallet’s service.

                                      Example ofphishing simulating an initialization process with MetaMask.
                                      Phishing simulating an initialization process with MetaMask.

                                      Then, a new modal is displayed, asking the victim for sensitive data in order to proceed with the fake revoking service. It tries to steal three different types of data. The first one is the cryptocurrency private key

                                      In this specific modal, there’s even a typo in the word “Revoke”.

                                      Screenshot of phishing trying to steal the private key from a crypto wallet.
                                      Phishing trying to steal the private key from a crypto wallet.

                                      The second piece of data it tries to steal is the security recovery phrase, which can be used to import the wallet, as we explained in a previous blog post.

                                      Screenshot of phishing trying to steal the security recovery phrase from a crypto wallet
                                      Phishing trying to steal the security recovery phrase from a crypto wallet.

                                      And lastly, it tries to steal a keystore file in JSON format.

                                      Screenshot of phishing trying to steal the keystore file from a crypto wallet.
                                      Phishing trying to steal the keystore file from a crypto wallet.

                                      Once the “Revoke Signature” button is clicked, the webpage sends the sensitive data to the attacker through a POST request to the same page.

                                      Example of POST request sending the private key to the attacker.
                                      POST request sending the private key to the attacker.

                                      Finally, after stealing the data, the page shows a message that says it was not possible to revoke and asks to try for another digital wallet. It also automatically closes the modal and opens a new one for a different wallet.

                                      Screenshot of fake message displayed by the phishing page.
                                      Fake message displayed by the phishing page.

                                      These three pieces of sensitive data (privacy key, recovery phrase, and keystore JSON) that the attacker tries to steal can be all used to provide access to someone’s crypto wallet, allowing the attacker to exfiltrate currency.

                                      Aside from these 21 targets, the webpage also contains an option to connect to “Other Wallets”, increasing the attack surface even more, covering possible crypto wallets that are not listed by the attacker.

                                      Conclusions

                                      This cryptocurrency wallet phishing technique shows how an attacker can increase the chances of success and also reduce their costs by targeting multiple crypto wallets at the same time with a single page hosted with a cloud application. We strongly recommend individuals to not enter sensitive details, such as private keys and secret recovery phrases, on unknown websites. If you’ve lost access to your account, please contact the official support for your wallet to verify the correct steps to follow.

                                      Protection

                                      Netskope Threat Labs is actively monitoring this campaign and has ensured coverage for all known threat indicators.

                                      IOCs

                                      Phishing URL

                                      hxxps://revolknfts.netlify[.]app/index

                                      author image
                                      Gustavo Palazolo
                                      Gustavo Palazolo is an expert in malware analysis, reverse engineering and security research, working many years in projects related to electronic fraud protection.
                                      Gustavo Palazolo is an expert in malware analysis, reverse engineering and security research, working many years in projects related to electronic fraud protection.

                                      Mantenha-se informado!

                                      Assine para receber as últimas novidades do Blog da Netskope