Il team di sicurezza dell'exchange di criptovalute Coinbase ha rivelato come ha contrastato un sofisticato attacco di phishing che cercava di rubare password e chiavi private.

In un post sul blog pubblicato l'8 agosto, l'exchange ha spiegato come ha scoperto e segnalato l'evento, che prevedeva lo sfruttamento di due vulnerabilità 0-day nel browser web Mozilla Firefox.

Un attacco "altamente mirato ed elaborato"

I primi passi dell'operazione di phishing, rivela Coinbase, risalgono a maggio di quest'anno, quando oltre una dozzina di impiegati dell'exchange hanno ricevuto un'e-mail da un presunto "Research Grants Administrator" dell'Università di Cambridge. L'e-mail, proveniente da uno dei domini legittimi di Cambridge, ha superato i filtri di sicurezza senza venir rilevata, insieme ad altre e-mail simili.

Tuttavia, la tattica delle e-mail è cambiata a metà giugno: questa volta, i messaggi contenevano un URL che, una volta aperto in Firefox, poteva installare dei malware sul computer del destinatario.

Entro poche ore dalla ricezione di questa e-mail, Coinbase ha collaborato con altre organizzazioni per sventare l'attacco. All'epoca, l'exchange aveva sottolineato di non aver trovato prove di un eventuale coinvolgimento dei propri clienti.

Alla fine, si scoprì che l'attacco hacker aveva preso di mira anche diverse organizzazioni esterne a Coinbase, per un totale di circa 200 individui.

Coinbase ha sottolineato che gli aggressori hanno studiato l'attacco nei minimi dettagli e aspettato il momento opportuno, inviando diverse e-mail da account accademici compromessi, facendo riferimento a eventi accademici reali e adattando il contenuto delle e-mail ai profili specifici degli obiettivi del phishing. Tuttavia, hanno tentato di infettare solo il 2,5% dei target con l'URL che ospitava la vulnerabilità 0-day.

Coinbase’s security response timeline

L'exchange rivela che non appena un dipendente e un sistema di avvisi automatici hanno segnalato l'e-mail come sospetta a metà giugno, il suo team di risposta ha trovato un modo rapido per contrastare la minaccia, catturando il bug 0-day dal sito di phishing mentre era ancora attivo. Il post aggiunge:

“Abbiamo anche revocato tutte le credenziali presenti sulla macchina e bloccato tutti gli account appartenenti al dipendente interessato. Quando ci siamo sentiti sicuri di aver contenuto con successo la minaccia nel nostro ambiente, abbiamo contattato il team di sicurezza di Mozilla e condiviso il codice dell'exploit utilizzato nell'attacco. "

Mozilla, dal canto suo, ha subito corretto una delle due vulnerabilità nel giorno seguente, e la seconda dopo pochi giorni.

Come segnalato da Cointelegraph, il mese scorso un cittadino israeliano è stato arrestato per il furto di 1,7 miliardi di dollari in criptovalute tramite una campagna di phishing diretta verso gli utenti europei.