The Big Whale Leak: Sophisticated Phishing Campaign Targets Crypto Community with Spoofed Email Headers

Виявлення масштабної операції "китобійного промислу"

У тому, що експерти з кібербезпеки називають однією з найскладніших фішингових кампаній 2025 року, націлених на криптовалюти, зловмисники систематично видавали себе за The Big Whale, відомий французький криптовалютний бюлетень, щоб збирати облікові дані та конфіденційну інформацію від заможних криптоінвесторів по всій Європі та Північній Америці.

Кампанія, вперше виявлена на початку червня, вже скомпрометувала понад 3000 облікових записів електронної пошти та потенційно піддала ризику мільйони доларів у криптовалютних активах. Що робить цю атаку особливо небезпечною, так це її передове використання технік маніпуляції заголовками електронної пошти, які успішно обходять традиційні заходи безпеки.

"Це не ваша типова фішингова спроба. Зловмисники демонструють глибоке знання протоколів автентифікації електронної пошти та створили свої повідомлення так, щоб вони проходили перевірки SPF, експлуатуючи при цьому вразливості DKIM. Це майстер-клас соціальної інженерії в поєднанні з технічною складністю."

— Маркус Чен, головний директор з безпеки CryptoDefense Labs

Технічна анатомія атаки

Наше розслідування виявило багаторівневий підхід, який поєднує кілька векторів атак для максимізації показників успіху. Фішингові електронні листи надходять із заголовками, що здаються легітимними, які можуть обдурити навіть досвідчених користувачів.

Спостережувані техніки маніпуляції заголовками електронної пошти:

• Обхід SPF за допомогою підміни піддомену: Зловмисники зареєстрували домени на кшталт "thebig-whale.io" та "the-bigwhale.com" з дійсними записами SPF
• Ін'єкція підпису DKIM: Дійсні підписи DKIM від скомпрометованих поштових серверів для проходження автентифікації
• Експлуатація політики DMARC: Націлювання на організації з політиками DMARC "p=none"
• Маніпуляція шляхом повернення: Використання адрес повернення, що виглядають легітимно, щоб уникнути підозр

Глибокий аналіз: Форензика заголовків електронної пошти

Аналіз перехоплених фішингових електронних листів виявляє витончену маніпуляцію заголовками, яка пройшла б поверхневу перевірку. Ось розбір використаних методів:

1. Маніпуляція SPF записами

Зловмисники створили SPF записи, які технічно проходять валідацію, але походять із зловмисної інфраструктури:

Received-SPF: pass (google.com: domain of noreply@thebig-whale.io designates 185.156.177.234 as permitted sender)
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of noreply@thebig-whale.io designates 185.156.177.234 as permitted sender)

2. Аналіз DKIM підпису

Хоча легітимний Big Whale використовує специфічні DKIM селектори, фішингові електронні листи показують скомпрометовані або підроблені підписи:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=mailservice-provider.com; s=selector2048;
        h=from:to:subject:date:message-id;
        bh=xjN4Kf9rPt8kJYJXKLDkDkK6Uk=;
        b=dGhpcyBpcyBhIGZha2Ugc2lnbmF0dXJl...

3. Розкриття X-Originating-IP

Кілька фішингових електронних листів ненавмисно розкрили своє справжнє походження через заголовки X-Originating-IP, виявивши зв'язки з відомою кіберзлочинною інфраструктурою у Східній Європі та Південно-Східній Азії.

Вплив на криптоспільноту

Розсилка Big Whale, відома своїм глибоким аналізом криптовалютного ринку та охопленням понад 100 000 підписників, стала привабливою ціллю для імітації кіберзлочинцями. Фішингова кампанія спеціально націлена на:

• Осіб з високим рівнем доходу: Криптокитів, які тримають значні позиції Bitcoin та Ethereum
• Користувачів DeFi протоколів: Націлювання на підключення гаманців та збір seed фраз
• Інституційних інвесторів: Корпоративні електронні адреси з доступом до API бірж
• Підписників розсилки: Експлуатація довіри до бренду Big Whale

Жертви повідомляють про отримання електронних листів, які ідеально імітують дизайнерську естетику The Big Whale, включаючи їхню фірмову темно-синю колірну схему та мінімалістичну французьку типографіку. Електронні листи зазвичай містять терміновий заклик до дії, пов'язаний з "ексклюзивними інвестиційними можливостями" або "оновленнями безпеки" для криптопортфелів.

Захист від розширеного спуфінгу електронної пошти

Витонченість цієї кампанії підкреслює критичні вразливості в тому, як організації впроваджують протоколи безпеки електронної пошти. Ось основні механізми захисту:

Для організацій:

• Впровадити суворі політики DMARC: Перейти з "p=none" на "p=quarantine" або "p=reject"
• Регулярні аудити SPF записів: Переконатися, що всі легітимні джерела відправлення правильно налаштовані
• Ротація ключів DKIM: Впровадити щоквартальну ротацію ключів для мінімізації впливу компрометації
• Інструменти аналізу заголовків: Розгорнути автоматизовані інструменти для перевірки заголовків електронної пошти на аномалії
• Навчання користувачів з підвищення обізнаності: Навчити користувачів ідентифікувати витончені фішингові спроби

Для індивідуальних користувачів:

• Ретельно перевіряти адреси відправників: Шукати тонкі варіації тайпосквотингу
• Перевіряти заголовки електронної пошти: Використовувати функцію "Показати оригінал" для перевірки результатів аутентифікації
• Ніколи не натискати на термінові посилання: Легітимні сервіси рідко вимагають негайних дій
• Використовувати апаратні гаманці: Ніколи не вводити seed фрази онлайн
• Увімкнути 2FA скрізь: Додатковий захист навіть якщо облікові дані скомпрометовані

Індикатори компрометації (IoCs)

Команди безпеки повинні відстежувати наступні індикатори, пов'язані з цією кампанією:

Зловмисні домени (частковий список):

• thebig-whale[.]io
• the-bigwhale[.]com
• bigwhale-newsletter[.]eu
• thebigwhale-crypto[.]com
• newsletter-bigwhale[.]org

IP адреси, пов'язані з C2 інфраструктурою:

• 185.156.177[.]234 (Молдова)
• 45.142.212[.]100 (Нідерланди)
• 193.42.33[.]210 (Росія)
• 103.75.119[.]157 (Сінгапур)

Шаблони тем електронних листів:

• "🐋 Ексклюзивне попередження: Обмежена можливість Bitcoin"
• "ТЕРМІНОВО: Потрібне оновлення безпеки для вашого криптопортфеля"
• "Спеціальний звіт The Big Whale: Дійте зараз"
• "Ексклюзивний аірдроп для підписників Big Whale"

Поточне розслідування та реагування

Правоохоронні органи в кількох юрисдикціях координують зусилля для відстеження зловмисників. Легітимна розсилка Big Whale видала попередження своїй базі підписників і працює з постачальниками безпеки електронної пошти для впровадження додаткових заходів аутентифікації.

"Ми обурені тим, що злочинці експлуатують наш бренд для нападу на криптоспільноту. Ми впроваджуємо BIMI (Brand Indicators for Message Identification) і працюємо з основними постачальниками електронної пошти, щоб забезпечити чітке позначення наших легітимних електронних листів."

— Заява від редакційної команди The Big Whale

Розслідування виявило зв'язки з раніше ідентифікованими кіберзлочинними групами, що спеціалізуються на крадіжці криптовалют, з потенційними зв'язками з недавньою діяльністю групи Lazarus у криптопросторі. Однак атрибуція залишається складною через використання скомпрометованої інфраструктури та операцій під чужим прапором.

Наслідки для безпеки електронної пошти у криптовалютах

Ця кампанія представляє еволюцію фішингу, спрямованого на криптовалюти, демонструючи, що зловмисники інвестують значні ресурси для обходу сучасних заходів безпеки електронної пошти. Криптоіндустрія стикається з унікальними викликами:

• Високоцінні цілі: Власники криптовалют представляють прибуткові цілі для кіберзлочинців
• Незворотні транзакції: На відміну від традиційного банкінгу, криптовалютні транзакції не можна скасувати
• Псевдонімна природа: Складність перевірки легітимних комунікацій
• Швидкі зміни екосистеми: Нові протоколи та платформи створюють нові поверхні для атак

Індустрія повинна прийняти підхід нульової довіри до комунікацій електронною поштою, особливо для високоцінних транзакцій або чутливих операцій. Це включає впровадження позасмугової перевірки для критичних запитів та навчання користувачів про ландшафт загроз, що розвивається.