Selon Censys (blog), des chercheurs ont identifié une campagne de phishing visant des utilisateurs de portefeuilles matériels Trezor et Ledger, majoritairement hébergée sur Cloudflare Pages, avec des tentatives de dissimulation via des fichiers robots.txt.
-
La campagne comprend plus de 60 pages de phishing usurpant Trezor et Ledger, principalement sur Cloudflare Pages. Le ou les acteurs ont tenté de bloquer l’indexation par des sites de signalement de phishing via des entrées spécifiques dans robots.txt, montrant une faible sophistication technique. 🎣
-
Censys a corrélé les sites malveillants en observant un motif distinctif dans robots.txt (« Disallow: /addwebphish.php ») et des références à des endpoints de PhishTank, ESET, Netcraft et Phish Report. Sur 61 hôtes identifiés, 58 étaient servis par Cloudflare Pages avec des certificats TLS correspondant aux noms d’hôtes. 🔐
-
L’infrastructure associée inclut des domaines enregistrés via GoDaddy (ex. trozre[.]com et trzor[.]us) avec plusieurs sous-domaines, ainsi que d’autres hébergeurs gratuits : Netlify, Teachable, Bravenet Sites et Typedream. 🌐
-
Des dépôts GitHub liés, datés de janvier 2025, contenaient des README corrompus avec des conflits de fusion non résolus et des hashs de commit identiques, indiquant un développement automatisé ou basé sur des modèles. Les pages d’hameçonnage utilisent des fautes d’orthographe des marques légitimes combinées à des chaînes comme « app », « start », « guide » et « help ». 🛠️
-
La plupart des sites ont été retirés, mais la campagne illustre la menace persistante pour les utilisateurs de crypto et l’abus des plateformes d’hébergement gratuites à des fins de phishing. Article de type analyse visant à documenter l’infrastructure et les techniques observées.
IoCs observés:
- Domains: trozre[.]com, trzor[.]us (avec multiples sous-domaines)
- Motif robots.txt: “Disallow: /addwebphish.php”
- Hébergement: 58/61 hôtes sur Cloudflare Pages (certificats TLS correspondant aux FQDN)
TTPs (techniques, tactiques et procédures):
- Usurpation de marque (Trezor, Ledger) et typosquatting (+ suffixes « app », « start », « guide », « help »)
- Phishing hébergé sur des services gratuits (Cloudflare Pages, Netlify, Teachable, Bravenet Sites, Typedream)
- Tentative d’entrave aux investigations via robots.txt ciblant des plateformes de signalement (PhishTank, ESET, Netcraft, Phish Report)
- Développement automatisé/à base de modèles (dépôts GitHub avec conflits de merge non résolus, hashs de commit identiques)
- Enregistrement de domaines via GoDaddy
🧠 TTPs et IOCs détectés
TTPs
[‘Usurpation de marque (Trezor, Ledger) et typosquatting (+ suffixes « app », « start », « guide », « help »)’, ‘Phishing hébergé sur des services gratuits (Cloudflare Pages, Netlify, Teachable, Bravenet Sites, Typedream)’, ‘Tentative d’entrave aux investigations via robots.txt ciblant des plateformes de signalement (PhishTank, ESET, Netcraft, Phish Report)’, ‘Développement automatisé/à base de modèles (dépôts GitHub avec conflits de merge non résolus, hashs de commit identiques)’, ‘Enregistrement de domaines via GoDaddy’]
IOCs
[‘Domains: trozre[.]com, trzor[.]us (avec multiples sous-domaines)’, ‘Motif robots.txt: “Disallow: /addwebphish.php”’, ‘Hébergement: 58/61 hôtes sur Cloudflare Pages (certificats TLS correspondant aux FQDN)’]
🔗 Source originale : https://censys.com/blog/disallow-security-research-crypto-phishing-sites-failed-attempt-to-block-investigators