Posts

The "Hive Official News" Phishing Attack on Discord yesterday - Die "Hive Official News" Phishing Attacke im Discord von gestern.

avatar of @louis88
25
@louis88
·
0 views
·
3 min read

Yesterday I was contacted by a user named "Hive Official News" in Discord. The message was immediately suspicious to me. I know for a fact that there is no "Official" news account for the Hive Blockchain in Discord, because there is no "official" person behind the Hive Blockchain who should publish such news.

Gestern wurde ich von einem User Namens "Hive Official News" im Discord angeschrieben. Die Nachricht kam mir direkt und sofort suspekt vor. Ich weiß ganz genau, das es keinen "Offiziellen" News Account für die Hive Blockchain gibt, da es keine "offizielle" Person hinter der Hive Blockchain gibt, welche solche Nachrichten veröffentlichen sollte.


The message states that various wallet applications for the computer have been updated to include "Hive SECURITY hot fixes ". Of course, this is complete nonsense. Only a few minutes later an urgent warning was issued on most Discord servers that this is a phishing / scam attack and that you should not visit the site or download the wallets there. The phishing page looked like the hive.io page but was very badly copied and only the links to the downloads were linked.

Trojan detection successful

Dear @ausbitbank took a closer look at the software that was available for download on the page. And look, either there really was a Trojan behind it or the virus scan of the .exe file could not be clearly determined due to missing information. Here you can read the report:

In der Nachricht geht hervor, das verschiedene Wallet-Anwendungen für den Computer ein Updates bekommen haben sollen um "Hive SECURITY hot fixes" einzuspielen. Natürlich ist das vollkommender Kokolores. Schon wenige Minuten später wurde dringlichst auf den meisten Discord Server eine Warnung ausgegeben, das dies eine Phishing / Scam Attacke ist und man auf garkeinen Fall die Seite besuchen sollte oder dort die Wallets herunterladen soll. Die Phishing Seite sah übrigens aus, wie die Seite von hive.io und war aber sehr schlecht kopiert und nur die Links zu den Downloads waren verknüpft.

Trojaner Fund

Der liebe @ausbitbank hat sich die Software mal genauer angesehen, welche auf der Seite zum Download zur Verfügung stand. Und siehe da, entweder war da tatsächlich ein Trojaner hinter oder der Viren-Scan der .exe Datei konnte aufgrund von fehlenden Informationen nicht eindeutig bestimmt werden. Hier gelangt ihr zum Bericht:


https://www.virustotal.com/gui/file/bc0504094946e1028b5561104e7bbc3b2dcae8900b181d246c95cb4fbc797d73/detection


(Vessel ist eine Open Source Software und konnte daher einfach mit Schadcode nachgebaut / neu aufgebaut werden. Daher bitte Software immer nur beim Original downloaden :))

Who is behind it?

That is not quite clear. I tried the same evening to call this telephone number - unfortunately, there was no connection under this phone number - this is not available. Whether the other data are correct or rather fake data is not known. Only a WhoIs query could be started on the domain name and the following info jumped out.

The domain has been registered at NameCheap. A case for the Abuse Team.

Wer steckt dahinter?

Das ist nicht ganz klar. Ich hab am selben Abend noch versucht, die hinterlegte Telefonnummer anzurufen - Leider gab es keine Verbindung unter dieser Telefonnummer - diese sei nicht vergeben. Ob die anderen Daten nun korrekt sind oder eher Fake-Daten sind, ist nicht bekannt. Lediglich eine WhoIs Abfrage konnte auf den Domain Namen gestartet werden und die folgenden Infos sind dabei rausgesprungen.

Die Domain ist bei NameCheap registriert worden. Ein Fall für das Abuse Team.


Bring that Shit down...

Various users then contacted the provider or registrar and described the case. After less than 24 hours the site was taken offline by the provider.

I hope that nobody was fooled by this clever phishing attack and that you have enough common sense not to blindly trust any message you get via Discord.

Bring that Shit down...

Verschiedene Nutzer haben sich dann beim Provider bzw. Registrar gemeldet und den Fall geschildert. Nach etwa weniger als 24 Stunden wurde die Seite vom Provider aus dem Netz genommen.

Ich hoffe doch, das niemand auf diese doch recht clevere Phishing-Attacke reingefallen ist und genug gesunder Menschenverstand vorhanden ist, das man nicht einfach blind links jeglicher Nachricht traut, die man via Discord zugespielt bekommt.