Cointelegraph e CoinMarketCap comprometidos com links fraudulentos no fim de semana

A Cointelegraph, uma das principais plataformas de mídia sobre criptomoedas, confirmou uma violação de segurança em seu front-end que expôs os usuários a um pop-up malicioso, incentivando-os a conectar suas carteiras.

O incidente, ocorrido em 22 de junho, envolveu golpistas promovendo um token falso da Cointelegraph (CTG) e uma campanha fraudulenta de oferta inicial de moeda (ICO).

O Scam Sniffer, uma plataforma de segurança blockchain, foi o primeiro a alertar sobre o comprometimento, observando que os atacantes buscavam enganar os usuários para obter acesso às carteiras. Uma vez conectadas, essas carteiras poderiam ser drenadas de seus ativos.

O Scam Sniffer rastreou a exploração até um payload JavaScript incorporado por meio da infraestrutura de publicidade do site. O código parecia vir de um domínio semelhante ao AdButler, embora tivesse sido registrado recentemente e vinculado a um script malicioso oculto em um banner publicitário.

Em um comunicado público, a Cointelegraph reconheceu o problema e alertou os usuários a não interagirem com pop-ups que promoviam "tokens CTG" ou "airdrops de ICO da CoinTelegraph".

A plataforma enfatizou que está investigando ativamente e trabalhando para remover o código malicioso. Os usuários foram orientados a não inserir dados pessoais ou conectar carteiras a qualquer solicitação no site.

CoinMarketCap enfrentou explorações semelhantes

Este incidente ocorre logo após um ataque semelhante à CoinMarketCap, apenas dois dias antes.

Em 20 de junho, o provedor de dados de criptomoedas sofreu brevemente uma violação em seu front-end, resultando em um prompt falso de carteira aparecendo em sua página inicial.

A CoinMarketCap rastreou a vulnerabilidade até uma imagem de doodle vinculada a um JavaScript não autorizado, que interrompeu brevemente a interface do site. A empresa afirmou:

"Nossa equipe de segurança identificou uma vulnerabilidade relacionada a uma imagem de doodle exibida em nossa página inicial. Essa imagem continha um LINK que acionava código malicioso por meio de uma chamada de API, resultando em um pop-up inesperado para alguns usuários ao acessarem nossa página inicial."

Embora a mensagem em cada site fosse diferente, ambos os casos seguiram um mecanismo de entrega quase idêntico: um pop-up enganoso disfarçado como um recurso da plataforma. Isso pode indicar uma campanha coordenada visando sites de criptomoedas com alto tráfego, usando explorações baseadas em JavaScript de publicidade.

Especialistas em segurança apontaram que as duas violações destacam uma tendência crescente de atacantes explorarem plataformas confiáveis para executar esquemas de drenagem de carteiras. Como resultado, eles recomendaram que os usuários de criptomoedas permaneçam cautelosos, evitem interagir com dApps desconhecidos e monitorem regularmente a atividade da carteira para se manterem seguros.

Traduzido por DashDaredevil