Metamessk

Hoy venimos con otro amigo de lo ajeno.
El clásico phishing mal escrito, que redirige a sitio falso. Nada novedoso por aquí. Pero puede servir como ejemplo de lo fácil que es perder en 1 minuto tus fondos cripto.


El mensaje proviene de las siguientes (casi nada sospechosas) direcciones:
ΜеtaΜaѕk Teаm <buesg-jamla[]y.kajabimail.net>
buesgenscyon[]hotmail.com

La secuencia de este scam ha sido la siguiente:

1. Email falso

En él nos informan de que «presión intensiva en la plataforma ha ocasionado un problema técnico que ha hecho que tu wallet haya fallado en la transición a la nueva blockchain».
Por lo visto llevan desde The Merge con su campaña de scam.
Jincho de las redes

2. Seguimos el enlace que nos proporcionan, y vamos a parar al sitio hxxps://ms-metamessk.com/imports/, una mala copia de Metamask, donde nos solicitan nuestras 12 palabras para importar la wallet.

En caso de introducir una frase semilla real, ya podemos dar por perdido lo que haya en esa wallet.

Así que les escribimos un poco de lorem ipsum, y ya hemos «importado correctamente la wallet».

3. Mensaje de que todo ha ido genial.

Las funcionalidades de la web son las más básicas, no han ido muy allá con el plagio.

Blockchain updated

4. Dile adiós a tus cryptos.

Con esa información, de ser la real, el scammer podría tomar el control de la cartera Metamask, y todos sus fondos.

Como podemos observar, tanto a la hora de enmascarar el origen, como de crear un email convincente, y de generar una web falsa realista, el resultado es bastante deficiente.
Como siempre, recordar que debemos asegurarnos de que estamos usando los servicios y aplicaciones oficiales, verificando los remitentes de las comunicaciones, y las direcciones URL de los enlaces que recibamos por email.

Vamos a ver ahora la parte técnica del sitio web, y qué información podemos obtener de la página scammer.

El certificado TLS de la web nos muestra que está registrado en Let’s Encrypt, por un período de validez de 3 meses.

Nombre común (CN)
ms-metamessk.com
Let’s Encrypt
Emitido el
viernes, 13 de enero de 2023, 2:35:33
Vencimiento el
jueves, 13 de abril de 2023, 3:35:32
Las tecnologías que utilizan son:
En Shodan vemos que se trata de un nodo hospedado en Alemania, que tiene varios hostnames bajo esa dirección IP, y servicio web en los puertos 80 y 443.
Y mirando las cabeceras, vemos la ausencia de X-Content-Type-Options y de HSTS. Nada excesivamente grave ni llamativo.
Una web simple y con un buen rendimiento.
Y poco más que comentar. A las pocas horas la web dejó de estar disponible, y a día de hoy ya no es accesible.
Sin embargo, campañas como esta se lanzan continuamente. Verifica siempre los orígenes de las comunicaciones que recibas, y nunca sigas enlaces sospechosos, especialmente si están relacionados con temas económicos.

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *