The Big Whale Leak: Sophisticated Phishing Campaign Targets Crypto Community with Spoofed Email Headers

Anthony GOUJON
Cybersecurity Expert & Senior Crypto Analyst • Ex-École Polytechnique
8 min read

Em resumo: Uma campanha de phishing sofisticada apelidada de "O Grande Vazamento da Baleia" foi descoberta, visando investidores de criptomoedas de alto valor ao se passar pelo popular newsletter francês de cripto The Big Whale. Os atacantes exploram vulnerabilidades em protocolos de autenticação de email, manipulando cabeçalhos DKIM, SPF e DMARC para contornar filtros de segurança e roubar credenciais.

Análise do Cabeçalho de Email da Campanha de Phishing The Big Whale
Análise técnica revela manipulação sofisticada de cabeçalhos de email na campanha de phishing Big Whale. Fonte: Pesquisa de Segurança CryptoVest

Descoberta de uma operação massiva de whaling

No que especialistas em cibersegurança estão chamando de uma das campanhas de phishing direcionadas a cripto mais sofisticadas de 2025, agentes de ameaças têm sistematicamente se passado pelo The Big Whale, um proeminente newsletter francês de criptomoedas, para coletar credenciais e informações sensíveis de investidores de cripto de alto patrimônio líquido em toda a Europa e América do Norte.

A campanha, detectada pela primeira vez no início de junho, já comprometeu mais de 3.000 contas de email e potencialmente expôs milhões de dólares em ativos de criptomoedas. O que torna este ataque particularmente perigoso é seu uso avançado de técnicas de manipulação de cabeçalhos de email que conseguem contornar medidas de segurança tradicionais.

"Esta não é sua tentativa típica de phishing. Os atacantes demonstram conhecimento profundo de protocolos de autenticação de email e criaram suas mensagens para passar nas verificações SPF enquanto exploram vulnerabilidades DKIM. É uma aula magistral em engenharia social combinada com sofisticação técnica."

— Marcus Chen, Diretor de Segurança do CryptoDefense Labs

Anatomia técnica do ataque

Nossa investigação revelou uma abordagem multicamadas que combina vários vetores de ataque para maximizar as taxas de sucesso. Os emails de phishing chegam com cabeçalhos aparentemente legítimos que podem enganar até usuários experientes.

Técnicas de manipulação de cabeçalhos de email observadas:

  • Contorno de SPF usando spoofing de subdomínio: Atacantes registraram domínios como "thebig-whale.io" e "the-bigwhale.com" com registros SPF válidos
  • Injeção de assinatura DKIM: Assinaturas DKIM válidas de servidores de email comprometidos para passar na autenticação
  • Exploração de política DMARC: Visando organizações com políticas DMARC "p=none"
  • Manipulação de return-path: Usando endereços de retorno com aparência legítima para evitar suspeitas

Infraestrutura do ataque:

  • Servidores de Comando e Controle: Localizados em 7 países diferentes
  • Domínios de phishing registrados: Mais de 45 variações typosquatted
  • Templates de email identificados: 12 variações únicas em 4 idiomas
  • Vítimas estimadas: 3.000+ confirmadas, potencialmente 10.000+ visadas

Análise profunda: Perícia forense de cabeçalhos de email

A análise de emails de phishing capturados revela manipulação sofisticada de cabeçalhos que passaria por uma inspeção casual. Aqui está um detalhamento das técnicas empregadas:

1. Manipulação de registros SPF

Os atacantes criaram registros SPF que tecnicamente passam na validação, mas se originam de infraestrutura maliciosa:

Received-SPF: pass (google.com: domain of noreply@thebig-whale.io designates 185.156.177.234 as permitted sender)
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of noreply@thebig-whale.io designates 185.156.177.234 as permitted sender)

2. Análise de assinatura DKIM

Enquanto o Big Whale legítimo usa seletores DKIM específicos, os emails de phishing mostram assinaturas comprometidas ou fabricadas:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=mailservice-provider.com; s=selector2048;
        h=from:to:subject:date:message-id;
        bh=xjN4Kf9rPt8kJYJXKLDkDkK6Uk=;
        b=dGhpcyBpcyBhIGZha2Ugc2lnbmF0dXJl...

3. Exposição de X-Originating-IP

Vários emails de phishing inadvertidamente expuseram suas verdadeiras origens através de cabeçalhos X-Originating-IP, revelando conexões com infraestrutura cibercriminosa conhecida no Leste Europeu e Sudeste Asiático.

Impacto na comunidade cripto

O newsletter Big Whale, conhecido por sua análise aprofundada do mercado cripto e alcançando mais de 100.000 assinantes, tornou-se um alvo atrativo de personificação para cibercriminosos. A campanha de phishing visa especificamente:

  • Indivíduos de alto patrimônio: Baleias cripto detentoras de posições significativas em Bitcoin e Ethereum
  • Usuários de protocolos DeFi: Visando conexões de carteiras e coleta de frases-semente
  • Investidores institucionais: Contas de email corporativo com acesso a APIs de exchanges
  • Assinantes do newsletter: Explorando a confiança na marca Big Whale

Vítimas relatam receber emails que imitam perfeitamente a estética de design do The Big Whale, incluindo seu esquema de cores azul-marinho característico e tipografia francesa minimalista. Os emails tipicamente contêm chamadas urgentes para ação relacionadas a "oportunidades de investimento exclusivas" ou "atualizações de segurança" para portfólios cripto.

Defendendo-se contra spoofing avançado de email

A sofisticação desta campanha destaca vulnerabilidades críticas em como as organizações implementam protocolos de segurança de email. Aqui estão mecanismos de defesa essenciais:

Para organizações:

  • Implementar políticas DMARC rigorosas: Migrar de "p=none" para "p=quarantine" ou "p=reject"
  • Auditorias regulares de registros SPF: Garantir que todas as fontes de envio legítimas estejam configuradas adequadamente
  • Rotação de chaves DKIM: Implementar rotação trimestral de chaves para minimizar o impacto de comprometimento
  • Ferramentas de análise de cabeçalhos: Implementar ferramentas automatizadas para inspecionar cabeçalhos de email em busca de anomalias
  • Treinamento de conscientização do usuário: Educar usuários sobre identificação de tentativas sofisticadas de phishing

Para usuários individuais:

  • Verificar endereços de remetente cuidadosamente: Procurar por variações sutis de typosquatting
  • Verificar cabeçalhos de email: Usar o recurso "Mostrar Original" para inspecionar resultados de autenticação
  • Nunca clicar em links urgentes: Serviços legítimos raramente exigem ação imediata
  • Usar carteiras de hardware: Nunca inserir frases-semente online
  • Habilitar 2FA em todos os lugares: Proteção adicional mesmo se as credenciais forem comprometidas

Indicadores de comprometimento (IoCs)

Equipes de segurança devem monitorar os seguintes indicadores associados a esta campanha:

Domínios maliciosos (lista parcial):

  • thebig-whale[.]io
  • the-bigwhale[.]com
  • bigwhale-newsletter[.]eu
  • thebigwhale-crypto[.]com
  • newsletter-bigwhale[.]org

Endereços IP associados à infraestrutura C2:

  • 185.156.177[.]234 (Moldávia)
  • 45.142.212[.]100 (Holanda)
  • 193.42.33[.]210 (Rússia)
  • 103.75.119[.]157 (Singapura)

Padrões de assunto de email:

  • "🐋 Alerta Exclusivo: Oportunidade Bitcoin Limitada"
  • "URGENTE: Atualização de Segurança Necessária para Seu Portfólio Cripto"
  • "The Big Whale Relatório Especial: Aja Agora"
  • "Airdrop Exclusivo para Assinantes Big Whale"

Investigação em andamento e resposta

Agências de aplicação da lei em múltiplas jurisdições estão coordenando esforços para rastrear os perpetradores. O newsletter legítimo Big Whale emitiu avisos para sua base de assinantes e está trabalhando com provedores de segurança de email para implementar medidas de autenticação adicionais.

"Estamos horrorizados que criminosos estejam explorando nossa marca para atacar a comunidade cripto. Estamos implementando BIMI (Brand Indicators for Message Identification) e trabalhando com grandes provedores de email para garantir que nossos emails legítimos sejam claramente marcados."

— Declaração da equipe editorial do The Big Whale

A investigação revelou conexões com grupos cibercriminosos previamente identificados especializados em roubo de criptomoedas, com potenciais ligações às atividades recentes do Lazarus Group no espaço cripto. No entanto, a atribuição permanece desafiadora devido ao uso de infraestrutura comprometida e operações de bandeira falsa.

Implicações para a segurança de email em cripto

Esta campanha representa uma evolução no phishing direcionado a cripto, demonstrando que os atacantes estão investindo recursos significativos para contornar as medidas modernas de segurança de email. A indústria cripto enfrenta desafios únicos:

  • Alvos de alto valor: Detentores de cripto representam alvos lucrativos para cibercriminosos
  • Transações irreversíveis: Ao contrário do sistema bancário tradicional, transações cripto não podem ser revertidas
  • Natureza pseudônima: Dificuldade em verificar comunicações legítimas
  • Mudanças rápidas no ecossistema: Novos protocolos e plataformas criam novas superfícies de ataque

A indústria deve adotar uma abordagem de confiança zero para comunicações por email, particularmente para transações de alto valor ou operações sensíveis. Isso inclui implementar verificação fora de banda para solicitações críticas e educar usuários sobre o cenário de ameaças em evolução.