Grootschalige phishing-aanval via MailerLite treft web3-bedrijven

In een recente ontwikkeling in de cybersecuritywereld heeft MailerLite, een prominent e-mailmarketingbedrijf, bevestigd dat hackers toegang hebben verkregen tot accounts van diverse grote Web3-bedrijven. Deze inbreuk is gebruikt voor een geraffineerde phishing-operatie, die naar schatting ongeveer 3,3 miljoen dollar van abonnees heeft weggenomen.

Versturen van kwaadaardige emails

Naar verluidt stuurden de hackers diverse e-mails vanuit de officiële accounts van WalletConnect, Token Terminal en De.Fi, die op hun beurt kwaadaardige links bevatten. Deze links leidden naar software die cryptovaluta-wallets kon leeghalen.

Enkele uren na het versturen van deze e-mails, onthulde MailerLite details over hoe hun systeem werd gecompromitteerd. Dit gebeurde door een social engineering-aanval gericht op een medewerker van de klantenservice. De medewerker klikte op een afbeelding die linkte naar een frauduleuze inlogpagina van Google, waardoor onbewust toegang werd verleend aan de aanvallers.

Toegang tot maar liefst 117 accounts

Deze toegang stelde de hackers in staat om het interne beheerderspaneel van MailerLite te betreden en wachtwoorden van gebruikersaccounts te resetten. Ze richtten zich specifiek op accounts gerelateerd aan cryptocurrency.

Uit het onderzoek bleek dat de aanvallers toegang hadden tot 117 accounts, waarvan er slechts een klein aantal werd gebruikt voor de phishing-campagnes. MailerLite waarschuwt dat persoonlijke informatie van klanten en abonnees, waaronder namen, e-mailadressen en andere gegevens, mogelijk is gecompromitteerd.

Hulp bij bepalen van omvang van diefstal

Blockchain-analysebedrijf Nansen assisteerde diverse bedrijven bij het bepalen van de omvang van de diefstal. Volgens hun bevindingen heeft de belangrijkste wallet, gebruikt voor de phishing, een instroom van 3,3 miljoen dollar gezien. Echter, 2,6 miljoen dollar hiervan bestond uit Xbanking-tokens, die minder liquide zijn en voornamelijk verhandeld worden op de Latoken-beurs.

Door de Xbanking-tokens af te trekken, schat Nansen dat het daadwerkelijk gemakkelijk omzetbare bedrag rond de 700.000 dollar ligt. Een vergelijkbare schatting werd gedaan door een anonieme gebruiker in een gedetailleerde Reddit-post, die ook door Nansen is bevestigd.

Zowel Nansen als de Reddit-discussie wijzen erop dat de aanvallers het Railgun privacyprotocol hebben gebruikt om de overdracht van de gestolen tokens te verhullen. Railgun is een privacyoplossing ingebouwd in de blockchain van onder andere Ethereum, BNB Chain, Polygon en Arbitrum, en maakt gebruik van zero-knowledge cryptografie om anonieme transacties mogelijk te maken.