Главная страница » IOC
0
4 дня
IOC

Домены, выдающие себя за ONCHAIN, чтобы украсть учетные данные WALLETCONNECT

security

Компания Palo Alto выявила не менее 45 доменов в кампании, выдающей себя за платформу для разработки блокчейна под названием OnChain.

Описание

  • Целью этой кампании является кража учетных данных WalletConnect, используемых в экосистеме OnChain.
  • Сайты, использующие эти домены, имеют общую хостинговую инфраструктуру и схожие файловые взаимодействия.
  • Страницы входа в систему с этих доменов содержат QR-код для обмана пользователей.
  • Компания Palo Alto выявила 45 вредоносных доменов в апреле 2025 года.
  • Информация о хостинге и регистрации:
    • Все 45 доменов были размещены на одном IP-адресе.
    • Эти домены имеют общие регистрационные данные WHOIS, которые, вероятно, были созданы с помощью автоматизации.
    • Первые 13 доменов были зарегистрированы в декабре 2024 года в домене верхнего уровня (TLD) .xyz.
    • Еще 30 доменов были зарегистрированы в апреле 2025 года под ДВУ .cfd.
    • Palo Alto обнаружили еще два домена, которые не соответствуют тем же соглашениям о наименовании.
      • Один был зарегистрирован в ноябре 2024 года.
      • Один был зарегистрирован в марте 2025 года.
  • Страницы имеют схожее содержание и показывают сильную корреляцию в файловых взаимодействиях (загрузка/выгрузка файлов).
  • Страницы демонстрируют QR-код на странице входа в систему и подозрительную ссылку «Скопировать в буфер обмена».
  • Каждый QR-код страницы входа в систему под этими доменами указывает на разные URL WalletConnect.
  • Устаревший протокол: Ссылки используют устаревший протокол WalletConnect v1, который был официально закрыт в июне 2023 года.
  • Просроченный URL-адрес моста: URL-адрес моста больше не является легитимным из-за просроченного SSL-сертификата.
  • Попытка фишинга: QR-код инициирует запрос на подключение, что в случае одобрения может привести к фишинговой атаке на кошелек.
  • Риск: одобрение запроса на подключение может привести к раскрытию идентификатора блокчейна и информации о счете кошелька.
  • Судя по телеметрии Palo Alto, основной целью этой кампании являются пользователи в США.
  • Чаще всего объектом атак становятся профессиональные и юридические услуги.

QR-коды на разных страницах входа ведут на разные URL-адреса, например:

QR-код, представленный на:

hxxps[:]//www.ht666888[.]cfd/#/pages/login/login

Переводится как следующий текст:
wc:d785ed5a-c896-4088-a7e7-11d809643768@1?bridge=hxxps%3A%2F%2Fbridge.walletconnect[.]org&key=855576dbee6c517b5fa953403378e6989333836cfd8d53baa365494874847aab

QR-код, представленный на:

hxxps[:]//onchain10[.]cfd/#/pages/login/login

Переводится как следующий текст:

wc:f22a086d-3ee8-4b51-a275-0b4cb5dbc1ea@1?bridge=hxxps%3A%2F%2Fbridge.walletconnect[.]org&key=a58fac4c490c477f9fe6bd8ac9dc2fd44c6d2291fb34381f6a394bc7be1d0825

Индикаторы компрометации

IPv4

  • 156.251.27.213

Domains

  • ht666888.cfd
  • ht888888.xyz
  • onchain10.cfd
  • onchain11.cfd
  • onchain12.cfd
  • onchain13.cfd
  • onchain14.cfd
  • onchain15.cfd
  • onchain16.cfd
  • onchain17.cfd
  • onchain18.cfd
  • onchain19.cfd
  • onchain20.cfd
  • onchain21.cfd
  • onchain22.cfd
  • onchain23.cfd
  • onchain24.cfd
  • onchain24.xyz
  • onchain25.cfd
  • onchain26.cfd
  • onchain27.cfd
  • onchain28.cfd
  • onchain29.cfd
  • onchain30.cfd
  • onchain31.cfd
  • onchain31.xyz
  • onchain32.cfd
  • onchain33.cfd
  • onchain34.cfd
  • onchain35.cfd
  • onchain36.cfd
  • onchain37.cfd
  • onchain38.cfd
  • onchain39.cfd
  • onchain46.xyz
  • onchain47.xyz
  • onchain48.xyz
  • onchain49.xyz
  • onchain50.xyz
  • onchain51.xyz
  • onchain52.xyz
  • onchain53.xyz
  • onchain54.xyz
  • onchain55.xyz
  • onchain56.xyz
Комментарии: 0
Похожие записи