La cuenta de correo electrónico del registrador de dominios Namecheap fue vulnerada el domingo por la noche, lo que provocó una avalancha de correos electrónicos de phishing de MetaMask y DHL. Estos correos intentaron robar la información personal de los destinatarios y las billeteras de criptomonedas.

Las campañas de phishing comenzaron alrededor de las 21:30 UTC y se originaron en SendGrid. SendGrid es una plataforma de correo electrónico utilizada históricamente por Namecheap para enviar avisos de renovación y correos electrónicos de marketing.

Después de que los destinatarios comenzaron a quejarse en Twitter, el CEO de Namecheap, Richard Kirkendall,  confirmó  que la cuenta estaba comprometida y que deshabilitaron el correo electrónico a través de SendGrid mientras investigaban el problema.

Kirkendall también dijo que creen que la infracción puede estar relacionada con un  informe de CloudSek de diciembre sobre las claves API de Mailgun, MailChimp y SendGrid que estaban expuestas en las aplicaciones móviles.

Una avalancha de correos electrónicos

Los correos electrónicos de phishing enviados en esta campaña se hacen pasar por DHL o MetaMask.

El correo electrónico de phishing de DHL pretende ser una factura por una tarifa de envío requerida para completar la entrega de un paquete. Si bien no a todos los usuarios le ha llegado este correo electrónico, hasta donde sabemos, los enlaces incrustados conducen a una página de phishing que intenta robar la información del objetivo.

1676391674 682 Correo electronico de Namecheap fue hackeado para enviar emails de.webp ITB BARQUISIMETO 23/03/2023

“Lamentamos informarte que tu paquete no pudo ser entregado en la fecha especificada, 02/12/2023. El paquete se encuentra actualmente en el almacén de DHL cerca de tu ciudad.

El motivo de la demora fue que el remitente no pagó las tarifas necesarias para la entrega. Para evitar que se devuelva el paquete, te pedimos que pagues la tarifa de 6.95 USD. Puedes rastrear tu paquete y pagar la tarifa haciendo clic en el botón de seguimiento”

Correo de Phishing de DHL

Phishing de Metamask

Otros usuarios han recibido el correo electrónico de phishing de MetaMask. Este correo pretende ser una verificación KYC (Conozca a su Cliente) requerida para evitar que se suspenda la billetera.

1676391674 513 Correo electronico de Namecheap fue hackeado para enviar emails de.webp ITB BARQUISIMETO 23/03/2023
Correo electrónico de phishing MetaMask de Namecheap

“Le escribimos para informarle que para continuar usando nuestro servicio de billetera, es importante obtener la verificación KYC (Know Your Customer). La verificación KYC nos ayuda a asegurarnos de que estamos brindando nuestros servicios a clientes legítimos”. 

“Al completar la verificación KYC, podrá almacenar, retirar y transferir fondos de forma segura sin interrupciones. También nos ayuda a protegerlo contra el fraude financiero y otras amenazas de seguridad”.

“Lo instamos a que complete la verificación KYC lo antes posible para evitar la suspensión de su billetera”.

Correo electrónico de phishing de MetaMask

Este correo electrónico contiene un enlace de marketing de Namecheap ( que redirige al usuario a una página de phishing que se hace pasar por MetaMask.

Esta página solicita al usuario que ingrese su ‘Frase de recuperación secreta‘ o ‘Clave privada’, como se muestra a continuación.

1676391674 233 Correo electronico de Namecheap fue hackeado para enviar emails de.webp ITB BARQUISIMETO 23/03/2023
Página de phishing de MetaMask

Una vez que un usuario proporciona la frase de recuperación o la clave privada, los ciberdelincuentes pueden usarlas para importar la billetera a sus propios dispositivos y robar todos los fondos y activos.

Si recibiste un correo electrónico de phishing de DHL o MetaMask recientemente de Namecheap, elimínalo inmediatamente y no hagas clic en ningún enlace.

Namecheap culpa a “sistema ascendente”

Namecheap publicó un comunicado el domingo por la noche afirmando que sus sistemas no fueron vulnerados, sino que se trataba de un problema en un sistema ascendente que utilizan para el correo electrónico.

“Tenemos evidencia de que el sistema ascendente que usamos para enviar correos electrónicos (de terceros) está involucrado en el envío de correos electrónicos no solicitados a nuestros clientes. Como resultado, es posible que hayas recibido algunos correos electrónicos no autorizados”.

“Nos gustaría asegurarte que los propios sistemas de Namecheap no fueron violados y que tus productos, cuentas e información personal permanecen seguros”. 

Comunicado emitido por Namecheap

Después del incidente de phishing, Namecheap dice que detuvieron todos los correos electrónicos, incluida la entrega del código de autenticación de dos factores, la verificación de dispositivos confiables y los correos electrónicos de restablecimiento de contraseña, y comenzaron a investigar el ataque con su proveedor ascendente. Los servicios se restablecieron más tarde esa noche a las 7:08 p. m. EST.

Si bien Namecheap no indicó el nombre de este sistema ascendente, el CEO de Namecheap tuiteó previamente que estaban usando SendGrid. Esto también se confirmó en los encabezados de correo de los correos electrónicos de phishing.

Respuesta de Twilio

Sin embargo, Twilio SendGrid le dijo a BleepingComputer que el incidente de Namecheap no fue el resultado de un ataque o compromiso de los sistemas del proveedor de servicios de correo electrónico, lo que agregó más confusión sobre lo que sucedió.

Twilio SendGrid se toma muy en serio el fraude y el abuso e invierte mucho en tecnología y personas enfocadas en combatir las comunicaciones fraudulentas e ilegales. Somos conscientes de la situación con respecto al uso de nuestra plataforma para lanzar correo electrónico de phishing y nuestros equipos de fraude, cumplimiento y seguridad cibernética están involucrados en el asunto. Esta situación no es el resultado de un ataque o compromiso de la red de Twilio. Alentamos a todos los usuarios finales y entidades a adoptar un enfoque múltiple para combatir los ataques de phishing, implementando precauciones de seguridad como la autenticación de dos factores, la administración de acceso IP y el uso de mensajes basados ​​en dominios. Todavía estamos investigando la situación y no tenemos información adicional para proporcionar en este momento”.

Corporación Twilio

El portal BleepingComputer contactó a Twilio con más preguntas sobre el incidente, pero no obtuvieron una respuesta de inmediato.

También  se comunicaron con Namecheap con preguntas sobre el incidente, pero no hubo ninguna respuesta.



Noticia Confirmada

Leer más aquí


0 comentarios

Deja una respuesta

Marcador de posición del avatar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Información básica sobre protección de datos Ver más

  • Responsable: ITB BARQUISIMETO.
  • Finalidad:  Moderar los comentarios.
  • Legitimación:  Por consentimiento del interesado.
  • Destinatarios y encargados de tratamiento: No se ceden o comunican datos a terceros para prestar este servicio.
  • Derechos: Acceder, rectificar y suprimir los datos.
  • Información Adicional: Puede consultar la información detallada en la Política de Privacidad.