Aufdeckung des Netzwerks hinter gefälschten Kryptowährungsverkäufern: Ein tiefer Einblick in 130 bösartige Domänen

Der Bedrohungsforscher Dancho Danchev hat kürzlich 130 Domains aufgedeckt, die scheinbar gefälschten Kryptowährungsverkäufern gehören. Das versuchte das WhoisXML-API-Forschungsteam

Recently, threat researcher Dancho Danchev uncovered 130 domains that seemingly belong to fake cryptocurrency sellers. The WhoisXML API research team sought to find potential connections to the threat by expanding the current list of indicators of compromise (IoCs) using our vast array of DNS intelligence sources.

Kürzlich hat der Bedrohungsforscher Dancho Danchev 130 Domains aufgedeckt, die scheinbar gefälschten Kryptowährungsverkäufern gehören. Das WhoisXML-API-Forschungsteam versuchte, potenzielle Zusammenhänge mit der Bedrohung zu finden, indem es die aktuelle Liste der Kompromittierungsindikatoren (IoCs) mithilfe unseres umfangreichen Spektrums an DNS-Intelligence-Quellen erweiterte.

Our in-depth investigation led to the discovery of:

Unsere eingehende Untersuchung führte zu der Entdeckung von:

A sample of the additional artifacts obtained from our analysis is available for download from our website.

Ein Beispiel der zusätzlichen Artefakte, die wir aus unserer Analyse erhalten haben, steht auf unserer Website zum Download bereit.

More IoC Facts

Weitere IoC-Fakten

To learn more about the 130 domain names tagged as IoCs, we performed a bulk WHOIS lookup, which revealed that:

Um mehr über die 130 als IoCs gekennzeichneten Domänennamen zu erfahren, haben wir eine Massen-WHOIS-Suche durchgeführt, die Folgendes ergab:

The actors behind the malicious fake cryptocurrency-selling campaigns used both old and new domain names. The oldest domain IoC was created in 2014, while the newest two domains were created in 2024. Eighteen domains were created in 2023; seven in 2021; six each in 2019, 2020, and 2022; two in 2024; and one each in 2014 and 2016. Finally, 83 domain IoCs did not have creation dates in their current WHOIS records.

Die Akteure hinter den böswilligen Kampagnen zum Verkauf gefälschter Kryptowährungen verwendeten sowohl alte als auch neue Domainnamen. Die älteste Domäne IoC wurde 2014 erstellt, während die neuesten beiden Domänen 2024 erstellt wurden. Achtzehn Domänen wurden 2023 erstellt; sieben im Jahr 2021; jeweils sechs in den Jahren 2019, 2020 und 2022; zwei im Jahr 2024; und jeweils eines in den Jahren 2014 und 2016. Schließlich hatten 83 Domain-IoCs kein Erstellungsdatum in ihren aktuellen WHOIS-Datensätzen.

The domain IoCs were spread across 11 countries topped by the U.S., which accounted for 28 domains. Four domains were registered in Iceland. Austria, China, and the U.K. accounted for two domain IoCs each. One domain each was registered in Cyprus, Denmark, Germany, Kazakhstan, Switzerland, and Turkey. Finally, 86 domain IoCs did not have registrant countries in their current WHOIS records.

Die Domain-IoCs verteilten sich auf 11 Länder, angeführt von den USA mit 28 Domains. In Island wurden vier Domains registriert. Auf Österreich, China und das Vereinigte Königreich entfielen jeweils zwei Domain-IoCs. Jeweils eine Domain wurde in Zypern, Dänemark, Deutschland, Kasachstan, der Schweiz und der Türkei registriert. Schließlich hatten 86 Domain-IoCs in ihren aktuellen WHOIS-Datensätzen keine Registrantenländer.

IoC DNS Footprints

IoC-DNS-Footprints

To uncover other artifacts potentially connected to the fake cryptocurrency-selling campaigns, we first performed WHOIS History API queries for the 130 domains tagged as IoCs. Their historical WHOIS records contained 336 email addresses after duplicates were removed, 57 of which were public.

Um andere Artefakte aufzudecken, die möglicherweise mit den gefälschten Kryptowährungs-Verkaufskampagnen in Zusammenhang stehen, haben wir zunächst WHOIS History API-Abfragen für die 130 als IoCs gekennzeichneten Domänen durchgeführt. Ihre historischen WHOIS-Datensätze enthielten nach der Entfernung von Duplikaten 336 E-Mail-Adressen, von denen 57 öffentlich waren.

We then used the 57 public email addresses as reverse WHOIS API search terms and found 522 email-connected domains after duplicates and the IoCs were filtered out. Twenty-one of the email-connected domains were associated with 1—2 threats according to Threat Intelligence API. Take a look at five examples below.

Anschließend verwendeten wir die 57 öffentlichen E-Mail-Adressen als umgekehrte WHOIS-API-Suchbegriffe und fanden 522 mit E-Mails verbundene Domänen, nachdem Duplikate und die IoCs herausgefiltert wurden. Einundzwanzig der per E-Mail verbundenen Domänen waren laut Threat Intelligence API mit ein bis zwei Bedrohungen verbunden. Schauen Sie sich unten fünf Beispiele an.

Next, DNS lookups for the 130 domains tagged as IoCs revealed that 91 of them did not actively resolve to any IP address. The remaining 39 domain IoCs, meanwhile, resolved to 41 IP addresses after duplicates were removed. Threat Intelligence Lookup showed that 39 of them were associated with various threats. Take a look at five examples below.

Als nächstes ergaben DNS-Suchen für die 130 als IoCs gekennzeichneten Domänen, dass 91 von ihnen nicht aktiv in eine IP-Adresse aufgelöst wurden. Die verbleibenden 39 Domänen-IoCs wurden inzwischen in 41 IP-Adressen aufgelöst, nachdem Duplikate entfernt wurden. Threat Intelligence Lookup ergab, dass 39 von ihnen mit verschiedenen Bedrohungen in Verbindung standen. Schauen Sie sich unten fünf Beispiele an.

A bulk IP geolocation lookup for the 41 IP addresses showed that:

Eine Massen-IP-Geolocation-Suche für die 41 IP-Adressen ergab Folgendes:

They were also spread across 12 ISPs topped by Amazon, which accounted for 22 IP address IoCs. Automattic, Cloudflare, and Namecheap tied in second place with two IP IoCs each. One IP address IoC each was administered by Confluence Networks, GigeNET, Hong KongMegalayer Technology Co., Hostinger International, http.net Internet GmbH, LeaseWeb U.S.A., UCloud Information Technology (HK) Limited, and World4You Internet Services GmbH. Finally, five IP addresses did not have ISPs in their A records.

Sie verteilten sich auch auf 12 ISPs, angeführt von Amazon, die 22 IP-Adress-IoCs ausmachten. Automattic, Cloudflare und Namecheap liegen mit jeweils zwei IP-IoCs auf dem zweiten Platz. Jeweils ein IP-Adress-IoC wurde von Confluence Networks, GigeNET, Hong KongMegalayer Technology Co., Hostinger International, http.net Internet GmbH, LeaseWeb USA, UCloud Information Technology (HK) Limited und World4You Internet Services GmbH verwaltet. Schließlich hatten fünf IP-Adressen keine ISPs in ihren A-Einträgen.

We also subjected the 41 IP addresses to reverse IP lookups and found that only two of them could be dedicated. Altogether, they hosted 259 domains after duplicates, the IoCs, and the email-connected domains were filtered out.

Wir haben die 41 IP-Adressen auch einer umgekehrten IP-Suche unterzogen und festgestellt, dass nur zwei davon dediziert werden konnten. Insgesamt hosteten sie 259 Domains, nachdem Duplikate, die IoCs und die per E-Mail verbundenen Domains herausgefiltert wurden.

To cover all bases, we looked for domains that started with the same text strings as the IoCs. They only used different topTLD extensions. Eighty-four text strings also appeared in 1,947 string-connected domains. They were:

Um alle Grundlagen abzudecken, haben wir nach Domänen gesucht, die mit denselben Textzeichenfolgen wie die IoCs beginnen. Sie verwendeten lediglich unterschiedliche topTLD-Endungen. Außerdem tauchten 84 Textzeichenfolgen in 1.947 durch Zeichenfolgen verbundenen Domänen auf. Sie waren:

Threat Intelligence API found that 15 of them were associated with various threats. Take a look at five examples below.

Die Threat Intelligence API stellte fest, dass 15 davon mit verschiedenen Bedrohungen in Zusammenhang standen. Schauen Sie sich unten fünf Beispiele an.

Our DNS deep dive into the fake cryptocurrency-selling campaigns led to the discovery of 2,769 potentially connected artifacts. Many of them, 75 to be exact, seem to have already been weaponized. As cryptocurrency usage becomes more popular, we are bound to see more threats targeting them, making staying ahead of the curve critical.

Unser tiefergehender DNS-Einblick in die gefälschten Kryptowährungs-Verkaufskampagnen führte zur Entdeckung von 2.769 potenziell verbundenen Artefakten. Viele von ihnen, um genau zu sein 75, scheinen bereits als Waffe eingesetzt worden zu sein. Da die Verwendung von Kryptowährungen immer beliebter wird, werden wir zwangsläufig mehr Bedrohungen sehen, die auf Kryptowährungen abzielen. Daher ist es von entscheidender Bedeutung, immer einen Schritt voraus zu sein.

Download a sample of the threat research materials now or contact sales to discuss your intelligence needs for threat detection and response or other cybersecurity use cases.

Laden Sie jetzt ein Beispiel der Materialien zur Bedrohungsforschung herunter oder wenden Sie sich an den Vertrieb, um Ihren Informationsbedarf für die Bedrohungserkennung und -reaktion oder andere Anwendungsfälle im Bereich der Cybersicherheit zu besprechen.