Découvrir le réseau derrière les faux vendeurs de crypto-monnaie : une plongée approfondie dans 130 domaines malveillants

Le chercheur en menaces Dancho Danchev a récemment découvert 130 domaines qui semblent appartenir à de faux vendeurs de crypto-monnaie. L'équipe de recherche de l'API WhoisXML a cherché à

Recently, threat researcher Dancho Danchev uncovered 130 domains that seemingly belong to fake cryptocurrency sellers. The WhoisXML API research team sought to find potential connections to the threat by expanding the current list of indicators of compromise (IoCs) using our vast array of DNS intelligence sources.

Récemment, le chercheur en menaces Dancho Danchev a découvert 130 domaines qui semblent appartenir à de faux vendeurs de cryptomonnaies. L'équipe de recherche de l'API WhoisXML a cherché à trouver des liens potentiels avec la menace en élargissant la liste actuelle des indicateurs de compromission (IoC) à l'aide de notre vaste gamme de sources de renseignement DNS.

Our in-depth investigation led to the discovery of:

Notre enquête approfondie a permis de découvrir :

A sample of the additional artifacts obtained from our analysis is available for download from our website.

Un échantillon des artefacts supplémentaires obtenus à partir de notre analyse est disponible en téléchargement sur notre site Web.

More IoC Facts

Plus de faits sur l'IoC

To learn more about the 130 domain names tagged as IoCs, we performed a bulk WHOIS lookup, which revealed that:

Pour en savoir plus sur les 130 noms de domaine étiquetés comme IoC, nous avons effectué une recherche WHOIS groupée, qui a révélé que :

The actors behind the malicious fake cryptocurrency-selling campaigns used both old and new domain names. The oldest domain IoC was created in 2014, while the newest two domains were created in 2024. Eighteen domains were created in 2023; seven in 2021; six each in 2019, 2020, and 2022; two in 2024; and one each in 2014 and 2016. Finally, 83 domain IoCs did not have creation dates in their current WHOIS records.

Les acteurs derrière les campagnes malveillantes de vente de fausses cryptomonnaies utilisaient à la fois des noms de domaine anciens et nouveaux. Le domaine IoC le plus ancien a été créé en 2014, tandis que les deux domaines les plus récents ont été créés en 2024. Dix-huit domaines ont été créés en 2023 ; sept en 2021 ; six chacun en 2019, 2020 et 2022 ; deux en 2024 ; et un en 2014 et un en 2016. Enfin, 83 IoC de domaine n'avaient pas de date de création dans leurs enregistrements WHOIS actuels.

The domain IoCs were spread across 11 countries topped by the U.S., which accounted for 28 domains. Four domains were registered in Iceland. Austria, China, and the U.K. accounted for two domain IoCs each. One domain each was registered in Cyprus, Denmark, Germany, Kazakhstan, Switzerland, and Turkey. Finally, 86 domain IoCs did not have registrant countries in their current WHOIS records.

Les IoC de domaine étaient répartis dans 11 pays, en tête desquels les États-Unis, qui représentaient 28 domaines. Quatre domaines ont été enregistrés en Islande. L'Autriche, la Chine et le Royaume-Uni représentaient chacun deux IoC de domaine. Un domaine chacun a été enregistré à Chypre, au Danemark, en Allemagne, au Kazakhstan, en Suisse et en Turquie. Enfin, 86 IoC de domaine n'avaient pas de pays déclarants dans leurs enregistrements WHOIS actuels.

IoC DNS Footprints

Empreintes DNS IoC

To uncover other artifacts potentially connected to the fake cryptocurrency-selling campaigns, we first performed WHOIS History API queries for the 130 domains tagged as IoCs. Their historical WHOIS records contained 336 email addresses after duplicates were removed, 57 of which were public.

Pour découvrir d'autres artefacts potentiellement liés aux fausses campagnes de vente de crypto-monnaie, nous avons d'abord effectué des requêtes API d'historique WHOIS pour les 130 domaines étiquetés comme IoC. Leurs enregistrements WHOIS historiques contenaient 336 adresses e-mail après la suppression des doublons, dont 57 étaient publiques.

We then used the 57 public email addresses as reverse WHOIS API search terms and found 522 email-connected domains after duplicates and the IoCs were filtered out. Twenty-one of the email-connected domains were associated with 1—2 threats according to Threat Intelligence API. Take a look at five examples below.

Nous avons ensuite utilisé les 57 adresses e-mail publiques comme termes de recherche inversés de l'API WHOIS et avons trouvé 522 domaines connectés à la messagerie après le filtrage des doublons et des IoC. Selon l'API Threat Intelligence, 21 des domaines connectés à la messagerie électronique étaient associés à 1 à 2 menaces. Jetez un œil à cinq exemples ci-dessous.

Next, DNS lookups for the 130 domains tagged as IoCs revealed that 91 of them did not actively resolve to any IP address. The remaining 39 domain IoCs, meanwhile, resolved to 41 IP addresses after duplicates were removed. Threat Intelligence Lookup showed that 39 of them were associated with various threats. Take a look at five examples below.

Ensuite, les recherches DNS pour les 130 domaines marqués comme IoC ont révélé que 91 d’entre eux n’étaient activement résolus en aucune adresse IP. Les 39 IoC de domaine restants, quant à eux, ont été résolus en 41 adresses IP après la suppression des doublons. Threat Intelligence Lookup a montré que 39 d’entre eux étaient associés à diverses menaces. Jetez un œil à cinq exemples ci-dessous.

A bulk IP geolocation lookup for the 41 IP addresses showed that:

Une recherche groupée de géolocalisation IP pour les 41 adresses IP a montré que :

They were also spread across 12 ISPs topped by Amazon, which accounted for 22 IP address IoCs. Automattic, Cloudflare, and Namecheap tied in second place with two IP IoCs each. One IP address IoC each was administered by Confluence Networks, GigeNET, Hong KongMegalayer Technology Co., Hostinger International, http.net Internet GmbH, LeaseWeb U.S.A., UCloud Information Technology (HK) Limited, and World4You Internet Services GmbH. Finally, five IP addresses did not have ISPs in their A records.

Ils étaient également répartis sur 12 FAI, en tête desquels Amazon, qui représentaient 22 IoC d’adresses IP. Automattic, Cloudflare et Namecheap occupent la deuxième place avec deux IoC IP chacun. Une adresse IP IoC chacune était administrée par Confluence Networks, GigeNET, Hong KongMegalayer Technology Co., Hostinger International, http.net Internet GmbH, LeaseWeb USA, UCloud Information Technology (HK) Limited et World4You Internet Services GmbH. Enfin, cinq adresses IP n’avaient pas de FAI dans leurs enregistrements A.

We also subjected the 41 IP addresses to reverse IP lookups and found that only two of them could be dedicated. Altogether, they hosted 259 domains after duplicates, the IoCs, and the email-connected domains were filtered out.

Nous avons également soumis les 41 adresses IP à des recherches IP inversées et avons constaté que seules deux d'entre elles pouvaient être dédiées. Au total, ils ont hébergé 259 domaines après filtrage des doublons, des IoC et des domaines connectés au courrier électronique.

To cover all bases, we looked for domains that started with the same text strings as the IoCs. They only used different topTLD extensions. Eighty-four text strings also appeared in 1,947 string-connected domains. They were:

Pour couvrir toutes les bases, nous avons recherché des domaines commençant par les mêmes chaînes de texte que les IoC. Ils n'utilisaient que différentes extensions topTLD. Quatre-vingt-quatre chaînes de texte sont également apparues dans 1 947 domaines connectés par chaînes. Ils étaient:

Threat Intelligence API found that 15 of them were associated with various threats. Take a look at five examples below.

L’API Threat Intelligence a révélé que 15 d’entre eux étaient associés à diverses menaces. Jetez un œil à cinq exemples ci-dessous.

Our DNS deep dive into the fake cryptocurrency-selling campaigns led to the discovery of 2,769 potentially connected artifacts. Many of them, 75 to be exact, seem to have already been weaponized. As cryptocurrency usage becomes more popular, we are bound to see more threats targeting them, making staying ahead of the curve critical.

Notre analyse DNS approfondie des fausses campagnes de vente de cryptomonnaies a conduit à la découverte de 2 769 artefacts potentiellement connectés. Beaucoup d’entre eux, 75 pour être exact, semblent déjà avoir été militarisés. À mesure que l’utilisation des crypto-monnaies devient plus populaire, nous allons forcément voir davantage de menaces les cibler, ce qui rend essentiel de garder une longueur d’avance.

Download a sample of the threat research materials now or contact sales to discuss your intelligence needs for threat detection and response or other cybersecurity use cases.

Téléchargez dès maintenant un échantillon des documents de recherche sur les menaces ou contactez le service commercial pour discuter de vos besoins en matière de renseignement pour la détection et la réponse aux menaces ou d'autres cas d'utilisation de la cybersécurité.