Phishing et Cryptomonnaies : Découverte de l’infrastructure d’un réseau d’arnaques

Phishing et Cryptomonnaies : Découverte de l’infrastructure d’un réseau d’arnaques

Chaque jour, des centaines, voire des milliers de courriels, de SMS et de messages sur les réseaux sociaux sont envoyés à travers le web dans le cadre de campagnes de phishing, ciblant des utilisateurs innocents avec des intentions malveillantes. La popularisation des cryptomonnaies a poussé les cybercriminels à adapter leurs techniques, concevant des campagnes de plus en plus sophistiquées pour soutirer ces actifs virtuels à leurs victimes.

Dans cet article, j’examinerai de près l’infrastructure complexe qui se cache derrière l’une de ces arnaques à la cryptomonnaie, révélant certains des mécanismes utilisés par les cybercriminels.

Point de départ : Un message sur WhatsApp

En février 2024, sur mon compte WhatsApp, j’ai reçu un message de phishing prétendant être une notification automatique pour la création d’un compte sur une plateforme inconnue. Ce message contenait des identifiants ainsi que le « solde » en USDT d’un compte, affichant un montant impressionnant de plus d’un million de dollars. L’arnaqueur visait à me faire croire que je venais de recevoir par erreur les informations d’un compte plutôt aisé et me conseillait, évidemment, de conserver ces identifiants en lieu sûr.

Au début, je n’ai pas prêté attention à ce message de phishing et je l’ai simplement ignoré sans le supprimer. Cependant, en juillet 2024, j’ai reçu un autre message de phishing sur un autre compte WhatsApp. Similaire au précédent, ce message était rédigé dans une autre langue, contenait une URL différente et provenait d’un numéro indonésien. Cette récidive a attiré mon attention et m’a poussé à examiner de plus près cette arnaque.

Les numéros utilisés, les pays d’origine ainsi que les pseudonymes WhatsApp présents dans les deux messages de phishing ne sont pas très pertinents. Il est fort probable qu’ils proviennent de numéros achetés en masse ou obtenus par le biais de SIM swapping. Nous allons nous intéresser davantage aux URLs :

  • usdtasu[.]com
  • aususdt[.]com

Au moment de l’enquête, le domaine usdtasu était encore actif tandis que aususdt ne l’était plus. Cependant, cela ne m’a pas empêché de poursuivre l’investigation sur ce dernier.

Analyse des plateformes

La plateforme semble être conçue pour mobile mais fonctionne également sur PC. Elle ne présente pas de nom ou de logo clairement visible, mais une fois dans la section « About Us », on apprend qu’ils se font passer pour un service nommé « USDT Wealth Management« . Ils se présentent comme un centre de service unique pour les utilisateurs VIP, où l’on peut découvrir toutes les « opportunités de gestion de fortune adaptées ».

En utilisant urlscan.io, on constate que aususdt et usdtasu sont identiques. Dans la capture d’écran datant du 19 juillet, on retrouve la même interface. Les deux plateformes ayant une apparence identique, je me suis d’abord concentré sur celle qui est encore en ligne : usdtasu.

La plateforme n’a pas un design très complexe, on y retrouve Bootstrap pour le front-end et le framework ThinkPHP pour le back-end.

Il est également important de noter que la plateforme utilise 51LA (51.la). 51LA est un service chinois de collecte de données et d’analyse de trafic web, comparable à Google Analytics, mais spécifiquement destiné au marché chinois. Il offre des outils pour surveiller et analyser les visiteurs des sites web, ainsi que pour recueillir des statistiques sur l’utilisation du site. En effet, en explorant la plateforme, nous observons des communications vers « sdk.51.la » et « collect-v6.51.la », ce qui indique que le site utilise ce service pour suivre et analyser le trafic des utilisateurs.

Site officiel de 51LA

Comme mentionné précédemment, elle semble avoir été conçue principalement pour les mobiles et non pour les PC. La plateforme ne possède pas de fonctionnalités très poussées : elle dispose d’une page d’accueil avec une liste des différentes cryptomonnaies et de leurs prix en dollars américains. De même, dans la section « Market », on retrouve cette liste des cryptomonnaies et leurs prix en dollars américains, similaire à ce qui est affiché sur la page d’accueil. La plateforme comprend également une section « Trade » où l’utilisateur peut prétendument recharger son compte en USDT, retirer de l’argent, effectuer des transferts internes sur la plateforme et acheter des grades VIP. Enfin, il y a une section pour gérer son compte, permettant de se connecter, de créer un compte, et une fois connecté, d’accéder au solde de son compte ainsi qu’à quelques paramètres.

Dans la section « Trade », on découvre également que la plateforme déclare coopérer avec diverses plateformes d’échange de cryptomonnaies telles que Binance ou encore le discrédité FTX.

De plus, sur cette même page, afin de simuler une forte activité sur la plateforme, des transactions de retrait ou de recharge d’utilisateurs anonymisés apparaissent à chaque rafraîchissement de la page de manière aléatoire.

Dans la section dédiée à la gestion du compte, il est également possible de contacter le service client. Cette option mène à une adresse Gmail : [email protected]. Malheureusement, en utilisant l’outil Epeios pour investiguer cette adresse, nous n’avons trouvé que peu d’informations, à part le compte Google lié à cette adresse.

En modifiant légèrement l’URL de la plateforme, on accède à des pages d’erreur pour les pages inexistantes. Il semblerait que le site soit en mode debug, car ThinkPHP affiche des fragments de code backend. On y trouve également plusieurs commentaires en chinois.

ThinkPHP est un framework de développement web largement utilisé en Chine, réputé pour sa capacité à créer des applications web rapides et efficaces. La présence de ce framework dans le code backend, couplée à l’utilisation de 51.la pour la collecte de données et l’analyse du trafic, comme expliqué précédemment, renforce l’hypothèse que la plateforme a probablement été développée par une équipe en Chine ou en Asie de l’Est, ou qu’elle a été conçue avec des outils populaires dans cette région.

Il est également intéressant de noter que parmi les langues disponibles sur la plateforme, on trouve l’anglais, l’arabe, l’espagnol, le turc, le portugais, le coréen, le français, l’allemand, le persan, ainsi que le chinois traditionnel, principalement utilisé à Hong Kong et à Taïwan. En Chine, c’est le chinois simplifié qui est majoritairement employé. Cela donne une idée des pays potentiellement ciblés par cette campagne de phishing.

En explorant davantage la plateforme, j’ai découvert que lors de la création d’un compte, un wallet inactif sur la blockchain TRON (TRC20) est automatiquement généré. C’est sur ce wallet que l’utilisateur doit transférer la cryptomonnaie pour recharger son compte. Chaque utilisateur se voit attribuer un wallet différent, mais, évidemment, personne ne possède les clés privées de ces wallets.

Sur le compte qui m’a été fourni, l’historique des transferts sur la plateforme montre que des victimes probables ont déjà rechargé de la cryptomonnaie sur ce compte. Cependant, ne disposant pas du « Transaction Password », je ne peux pas accéder à l’adresse du wallet pour vérifier vers quel wallet central la cryptomonnaie est transférée par les cybercriminels à la tête de cette opération.

Passons maintenant à l’aspect plus technique. En recherchant les enregistrements DNS du domaine usdtasu et en reprenant l’ancienne recherche sur urlscan.io pour le domaine aususdt, on découvre ces deux adresses IP :

  • 154.82.84.233
  • 154.211.96.158

Ces deux IP sont localisées à Hong Kong, selon une recherche via whois, et appartiennent au même AS (Autonomous System) : Tcloudnet.

En utilisant bgp.tools, on apprend que Tcloudnet, l’AS399077, est associé au nom d’AS « TERAEXCH« . De plus, Tcloudnet dit être enregistré aux États-Unis, en Californie, plus précisément au 14252 Culver Dr #128, Irvine, Californie. Cette adresse correspond à un centre UPS, ce qui suggère qu’il s’agit probablement d’une simple boîte postale.

Tcloudnet possède également un site WordPress hébergé sur AWS et non sur sa propre infrastructure : https://tcloudnet[.]com/.

En effectuant quelques recherches sur cet AS, on découvre que plusieurs serveurs de commande et contrôle (C2) ainsi que des malwares sont hébergés dessus et ont été signalés par la communauté, notamment sur URLhaus et ThreatFox.

En accédant directement aux deux adresses IP, nous constatons que l’une d’entre elles affiche une erreur en chinois simplifié, indiquant que le site n’a pas été trouvé. En revanche, sur l’autre IP, nous découvrons une interface de « Demande de retrait » en chinois. Cette interface permet apparemment de saisir deux clés API, une adresse de wallet, et le montant à retirer.

Traduit depuis le chinois
Traduit depuis le chinois

En interagissant avec l’interface, nous recevons un message d’erreur indiquant un accès refusé en raison de permissions insuffisantes. Ce message d’erreur révèle que le serveur communique avec l’API de la plateforme d’échange de cryptomonnaies MEXC.

Site officiel de MEXC

Il semble donc que les cybercriminels à la tête de ce réseau d’escroqueries utilisent la plateforme MEXC dans le cadre de leurs opérations frauduleuses.

Après avoir exploré la plateforme de phishing, je me suis intéressé de plus près à l’ensemble de l’infrastructure qui se cache derrière.

Découverte de l'infrastructure de phishing : Une nébuleuse de noms de domaine

À partir des deux domaines et des deux adresses IP en ma possession, j’ai utilisé diverses techniques de pivotage, en m’appuyant sur plusieurs outils tels que VirusTotal, Alienvault OTX, Censys, et FOFA, afin de découvrir tous les éléments constituant l’infrastructure de ces cybercriminels.

Grâce à la réplication passive du DNS sur VirusTotal, j’ai pu identifier une centaine de noms de domaine liés à l’adresse IP associée au domaine usdtasu. Tous ces noms de domaine étaient très similaires, révélant une vaste infrastructure de phishing opérant sous des identités presque identiques.

Extrait de l'investigation sur Osintracker

Les noms de domaine sont tous très similaires, chacun intégrant le nom d’une cryptomonnaie telle que USDT, BTC, BUSD, ETH, etc., suivi de caractères aléatoires. Ces noms de domaine sont probablement générés par les cybercriminels en utilisant un DAG (Domain Generation Algorithm). Un DAG est un algorithme qui crée automatiquement une grande quantité de noms de domaine aléatoires ou pseudo-aléatoires. Ces noms peuvent ensuite être utilisés pour des activités malveillantes, rendant plus difficile pour les autorités de bloquer ou de suivre les opérations des cybercriminels, car de nouveaux domaines peuvent être activés rapidement si les anciens sont détectés ou bloqués.

En accédant à plusieurs de ces domaines, il est clair qu’il s’agit tous de clones de la plateforme de phishing. En effet, tous les noms de domaine trouvés grâce à la réplication passive du DNS sur VirusTotal, associés aux adresses IP malveillantes datant de 2023 et 2024, sont des copies de la même plateforme de phishing. Après avoir effectué quelques tests, j’ai également constaté que toutes les plateformes associées à une même IP partagent généralement le même backend. Cela signifie qu’il est possible de se connecter avec un même compte sur plusieurs plateformes partageant la même IP. Cependant, lorsqu’on essaie de se connecter sur une plateforme hébergée sur une autre IP, la connexion échoue et un message indiquant que le compte est inexistant s’affiche.

busdej[.]com
usdtadff[.]com
busjtc[.]com

En procédant de la même manière avec l’adresse IP liée au domaine aususdt[.]com, j’ai découvert six nouveaux noms de domaine, assez similaires à ceux trouvés précédemment. Contrairement à aususdt[.]com, ces domaines sont fonctionnels et hébergent la plateforme de phishing. En explorant ces plateformes, j’ai remarqué qu’elles affichent une adresses e-mail de contact différente de celle trouvée sur les plateformes hébergées sur l’autre IP.

Extrait de l'investigation sur Osintracker

Pendant que je récupérais tous les noms de domaine, grâce à l’historique des DNS passifs sur VirusTotal, j’ai également découvert les anciennes IPs utilisées par certains de ces domaines malveillants. De plus, j’ai pu identifier certains noms de domaine qui avaient migré vers d’autres IPs, certaines toujours sous le même AS, Tcloudnet, tandis que d’autres avaient été transférées vers des AS différents.

En répétant les mêmes techniques de pivotage sur les différentes nouvelles IPs trouvées, j’ai finalement identifié plus de 200 noms de domaine malveillants et 11 IPs malveillantes (La liste des IoCs est disponible à la fin de l’article).

En analysant toutes les données récoltées, j’ai remarqué que certaines plateformes, bien qu’hébergées sur des IPs différentes, partagent la même adresse e-mail de contact. Le même principe s’applique ici : toutes les plateformes de phishing sur une même IP ont un backend commun et partagent la même adresse e-mail de contact. Cela m’a permis d’établir des clusters basés sur ces adresses e-mail. Au total, trois clusters distincts ont été identifiés, chacun correspondant à une adresse e-mail différente, répartis sur les serveurs trouvés. De plus, en analysant tous les clusters, j’ai remarqué que l’un des trois ne fait pas appel à 51.LA pour la collecte et l’analyse de données.

Extrait de l'investigation sur Osintracker

En approfondissant les investigations, en utilisant d’autres outils tels que la sandbox Hybrid Analysis et en employant des techniques comme le pivotage à travers les certificats HTTPS via des outils comme crt.sh, j’ai découvert un nom de domaine hébergeant une plateforme différente de celles identifiées précédemment : une plateforme avec des fonctionnalités similaires mais un design différent.

Un réseau de variantes de la plateforme de phishing

En investiguant sur le nom de domaine « btckjp[.]com« , je suis tombé sur « btckip[.]com« , une variante de notre plateforme de phishing. Bien qu’elle soit similaire à la précédente en termes de fonctionnalités, cette plateforme présente un design légèrement différent. Elle semble également avoir été conçue principalement pour les appareils mobiles, mais reste fonctionnelle sur PC.

Contrairement à la précédente plateforme, celle-ci offre à ses utilisateurs la possibilité de retirer leurs cryptomonnaies directement en dollars américains sur leur compte bancaire, à condition qu’ils saisissent leurs informations bancaires sur la plateforme.

Cette plateforme, contrairement à la précédente qui se faisait passer pour une organisation nommée « USDT Wealth Management« , se présente cette fois comme l’équipe officielle derrière le Tether (USDT).

À part cela, je n’ai pas constaté de différences majeures. La plateforme fonctionne selon les mêmes principes que la précédente, avec la création d’un portefeuille pour chaque utilisateur. Elle est également développée en ThinkPHP, mais contrairement à l’autre, elle n’utilise pas le service 51.LA pour la collecte de données. De plus, elle est hébergée sur le même AS, Tcloudnet.

En répétant les méthodes de pivot comme réalisées précédemment, j’ai réussi à découvrir plusieurs clusters de variantes de notre plateforme initiale. Tous ces clusters présentent des caractéristiques similaires et fonctionnent principalement sur le même principe : un backend commun par IP.

Extrait de l'investigation sur Osintracker

L’un des clusters était particulièrement intéressant car il offrait une fonctionnalité que les autres n’avaient pas : un service de support en direct via un chat sur le site web. En effet, plusieurs plateformes de phishing, notamment celles hébergées sur les IPs « 206.238.76.98 » et « 206.238.77.234« , disposaient de cette fonctionnalité supplémentaire. Lorsqu’on cliquait sur le bouton de support, un chat s’ouvrait sur le domaine « supports-usdts[.]top« .


Le chat en direct dispose d’une liste de commandes permettant d’obtenir des réponses rapides grâce à un bot. Ces commandes facilitent l’interaction avec le service de support en fournissant des réponses automatiques aux questions courantes.

Le bot affiche également de temps en temps un message indiquant que si le service client ne répond pas, il est conseillé de contacter une adresse Gmail pour toute demande urgente.

Le site propose également plusieurs langues, mais il semble que les commandes disponibles dans le chat en direct ne soient accessibles qu’en anglais.

À part cette fonctionnalité intéressante, ce cluster comprend plusieurs noms de domaine notables, dont :

– wazirx77[.]com
– wazirx89[.]com
– wazirx77[.]site
– wazirx9[.]com
– wazirx7[.]com
– wazirx89[.]me
– wazirx77[.]live
– wazirx88[.]com
– wazirx99[.]com

Ces domaines semblent être des exemples de typosquatting, une technique où des noms de domaine sont conçus pour imiter des sites web legitime et dans ce cas la plateforme d’échange de cryptomonnaies indienne WazirX (https://wazirx.com). Étant donné que WazirX est principalement utilisée en Inde, il est probable que cette campagne de phishing vise des utilisateurs situés dans ce pays.

Extrait de l'investigation sur Osintracker

Contrairement aux techniques de typosquatting réalisées par des cybercriminels plus compétents, les plateformes de phishing sur ces domaines malveillants ne ressemblent pas du tout à la véritable plateforme WazirX.

wazirx77[.]site
wazirx[.]com

En investiguant ce réseau de variantes de la plateforme de phishing, j’ai également découvert certaines « anomalies » : des plateformes présentes sur une même IP qui n’affichaient pas le même e-mail de contact.

Sur la piste des IoCs : Encore plus de noms de domaines

Bien que je dispose déjà d’un bon nombre d’IoCs (Indicateurs de compromissions), il est possible d’en découvrir davantage. En approfondissant les recherches sur des plateformes comme Censys, FOFA, ou encore en utilisant des techniques de recherche inversée d’images présentes sur les plateformes de phishing, on pourrait identifier encore plus de serveurs et de noms de domaines malveillants. J’ai tenté de mener un travail exhaustif, mais il est probable qu’il existe encore des noms de domaines et des IPs malveillants que je n’ai pas encore détecté.

Pour cette investigation, je m’arrêterai ici dans la recherche d’IoCs. Nous avons déjà identifié un nombre considérable d’éléments, incluant deux réseaux de plateformes de phishing : la plateforme initiale et sa variante, ainsi que plusieurs clusters associés. Nous disposons également d’informations sur les anciennes IPs utilisées par les cybercriminels. Cette collecte d’IoCs devrait offrir une base solide pour d’autres analystes qui souhaiteraient approfondir l’investigation de cette campagne, ainsi que pour orienter des actions correctives au niveau des défenses.
Extrait de l'investigation sur Osintracker

Décryptage de la campagne de phishing

La campagne de phishing analysée dans cet article a pour but principal de tromper les victimes afin de leur dérober leurs cryptomonnaies. Parallèlement, elle cherche également à recueillir les informations bancaires de personnes peu familières avec les cryptomonnaies mais souhaitant s’y engager, en se faisant passer pour des plateformes d’échange légitimes telles que Binance, Swissborg, et d’autres.

Les premiers indices de cette campagne, identifiés à partir de sources ouvertes sur le web, remontent à octobre 2023, avec des victimes principalement en Iran.

Un article en persan mentionnant l’arnaque liée à l’un des noms de domaine identifiés a été repéré. Il était donc crucial de déterminer la date de publication de cet article. Cependant, la date était inscrite selon le calendrier persan, ce qui ne permettait pas de la convertir directement au calendrier grégorien par une simple traduction.

Pour résoudre ce problème, j’ai utilisé un convertisseur en ligne, qui m’a permis de déterminer que l’article avait été publié en octobre 2023.

Revenons au décryptage de la campagne de phishing. Il est possible que la campagne ait commencé avant octobre 2023, mais je n’ai pas trouvé d’éléments provenant d’utilisateurs ciblés antérieurement, en sources ouvertes. Par la suite, la campagne s’est étendue, et s’est intensifiée en 2024, augmentant le nombre de victimes dans divers pays.

Les recherches en sources ouvertes ont révélé que la campagne a impacté des individus dans plusieurs pays, notamment la France, la Russie, l’Iran, le Pakistan, l’Inde, l’Italie, le Liban, les Émirats Arabes Unis, la Belgique, le Royaume-Uni, la Turquie, et la Pologne.

Il est également important de noter que les principaux vecteurs de diffusion de ces plateformes de phishing sont WhatsApp, les mails, Facebook Messenger, et des groupes publics sur Facebook. De plus, cette campagne de phishing semble toujours être active au moment de la publication de cet article.

Conclusion

Pour conclure, cette investigation a révélé une campagne de phishing en pleine expansion, propagée via WhatsApp, Facebook, et par mail, ciblant les amateurs de cryptomonnaies ainsi que ceux souhaitant s’y lancer. Cette campagne, dont les premières traces remontent à octobre 2023, pourrait être plus ancienne et demeure active à ce jour. En analysant les infrastructures à l’aide de techniques de pivotage et en examinant les indices recueillis, il est évident que les cybercriminels ont mis en place un réseau complexe et bien organisé, visant à éviter la détection par les outils de sécurité comme le Safe Browsing.

Les éléments découverts, tels que l’utilisation du framework ThinkPHP, très répandu en Chine, l’intégration du service 51LA pour la collecte et l’analyse de données dans certaines plateformes, et la prédominance de serveurs basés à Hong Kong sous l’AS 399077, Tcloudnet (également connu sous le nom de TERAEXCH), pointent vers une possible origine chinoise ou est-asiatique des cybercriminels. Cependant, en l’absence de preuves tangibles supplémentaires, une attribution avec 100 % de certitude reste difficile.

En outre, il n’a pas été possible de déterminer avec certitude si cette campagne est le résultat d’un service de type Phishing as a Service (PhaaS), avec plusieurs affiliés impliqués, ou si elle repose sur un kit de phishing distribué par des cybercriminels. Il est également plausible qu’il s’agisse d’un même acteur de la menace ou d’un groupe de cybercriminels orchestrant cette opération, compte tenu des similarités observées dans les infrastructures des différents clusters identifiés.

Il est crucial que les utilisateurs de cryptomonnaies, ainsi que ceux qui s’y intéressent, restent vigilants et s’instruisent pour reconnaître les signes d’une attaque de phishing. La communauté cyber continue de surveiller ces menaces de près et partagera sûrement les informations afin de mieux protéger les utilisateurs à l’échelle mondiale. Étant donné que cette campagne est encore active, il est probable que les cybercriminels continueront à perfectionner leurs techniques pour échapper à la détection, ce qui rend la vigilance et la collaboration d’autant plus essentielles.

– Alb310

IoCs

IPs des serveurs

  • 154.211.96.158
  • 154.211.96.199
  • 154.211.97.245
  • 154.82.84.233
  • 154.82.85.30
  • 154.91.83.125
  • 154.91.83.132
  • 154.91.90.120
  • 154.91.90.144
  • 154.91.90.164
  • 168.76.20.106
  • 168.76.20.109
  • 168.76.20.42
  • 168.76.20.45
  • 168.76.20.46
  • 206.222.71.32
  • 206.238.43.84
  • 206.238.76.98
  • 206.238.77.180
  • 206.238.77.234
  • 206.238.77.33

Noms de domaine

  • abpusdt[.]com
  • afpusdt[.]com
  • agpusdt[.]com
  • ahpusdt[.]com
  • ajpusdt[.]com
  • aususdt[.]com
  • bapusdt[.]com
  • bavusdt[.]com
  • bcpusdt[.]com
  • bdpusdt[.]com
  • bepusdt[.]com
  • bfpusdt[.]com
  • bgpusdt[.]com
  • bhpusdt[.]com
  • bjpusdt[.]com
  • bkpusdt[.]com
  • blpusdt[.]com
  • bnpusdt[.]com
  • bopusdt[.]com
  • brpusdt[.]com
  • bsceze[.]com
  • bscfjr[.]com
  • bscfki[.]com
  • bscfur[.]com
  • bscgth[.]com
  • bscgyz[.]com
  • bscijp[.]com
  • bsckgz[.]com
  • bsclny[.]com
  • bscmfe[.]com
  • bscmza[.]com
  • bscnrl[.]com
  • bspusdt[.]com
  • bstyp[.]com
  • btcasn[.]com
  • btcbns[.]com
  • btccoi[.]com
  • btchjg[.]com
  • btciee[.]com
  • btciuy[.]com
  • btckio[.]com
  • btckip[.]com
  • btckjp[.]com
  • btckos[.]com
  • btckss[.]com
  • btckwe[.]com
  • btcllk[.]com
  • btcmts[.]com
  • btcmui[.]com
  • btcnit[.]com
  • btcnuo[.]com
  • btcnzv[.]com
  • btcoaw[.]com
  • btcoip[.]com
  • btcoit[.]com
  • btcokm[.]com
  • btcoph[.]com
  • btcopv[.]com
  • btcoxc[.]com
  • btcpai[.]com
  • btcqqa[.]com
  • btcsdw[.]com
  • btcsweb3[.]com
  • btctrp[.]com
  • btcuio[.]com
  • btcuyr[.]com
  • btcvui[.]com
  • btcwer[.]com
  • btcwey[.]com
  • btcxou[.]com
  • btcyui[.]com
  • btczaa[.]com
  • btczmm[.]com
  • btczqz[.]com
  • btczzi[.]com
  • btnliu[.]com
  • btnpas[.]com
  • btnqss[.]com
  • btntuu[.]com
  • btnybl[.]com
  • btnyin[.]com
  • btnzzv[.]com
  • btofqw[.]com
  • btouqw[.]com
  • bupusdt[.]com
  • busdej[.]com
  • busdxu[.]com
  • busebf[.]com
  • busekt[.]com
  • buselz[.]com
  • busexs[.]com
  • busfoq[.]com
  • bushgh[.]com
  • busiqo[.]com
  • busivq[.]com
  • busjtc[.]com
  • busjxd[.]com
  • buslfk[.]com
  • buspdd[.]com
  • busqzf[.]com
  • busvdd[.]com
  • busvmc[.]com
  • busvzc[.]com
  • busvzu[.]com
  • busxna[.]com
  • bvpusdt[.]com
  • bwpusdt[.]com
  • bxpusdt[.]com
  • bypusdt[.]com
  • bzpusdt[.]com
  • cytusdt[.]com
  • duausdt[.]com
  • ehpusdt[.]com
  • enakp[.]com
  • eopusdt[.]com
  • etchrg[.]com
  • ethdhc[.]com
  • ethdpo[.]com
  • ethdun[.]com
  • ethfdk[.]com
  • ethfrr[.]com
  • ethgpp[.]com
  • ethgrr[.]com
  • ethhva[.]com
  • ethkop[.]com
  • ethkpp[.]com
  • ethlea[.]com
  • ethmet[.]com
  • ethrpp[.]com
  • ethrse[.]com
  • ethsey[.]com
  • ethsro[.]com
  • ethtev[.]com
  • ethtri[.]com
  • ethtyu[.]com
  • ethyui[.]com
  • etokcy[.]com
  • etsbf[.]com
  • etscz[.]com
  • etsdh[.]com
  • etsdt[.]com
  • etskl[.]com
  • etsob[.]com
  • etspz[.]com
  • etsxd[.]com
  • etsxe[.]com
  • etvusdt[.]com
  • fedusdt[.]com
  • gtrsvt[.]com
  • imtoke[.]cc
  • nasxa[.]com
  • ncyvg[.]com
  • nexkk[.]com
  • nsuew[.]com
  • nyeoh[.]com
  • pfyhll15[.]com
  • pfyhll30[.]com
  • pufacd[.]com
  • pufacf[.]com
  • pufaci[.]com
  • pufacl[.]com
  • pufacm[.]com
  • pufacn[.]com
  • pufacp[.]com
  • pufacu[.]com
  • pufacv[.]com
  • pufacx[.]com
  • pufacz[.]com
  • pufada[.]com
  • pufadb[.]com
  • pufadc[.]com
  • saoix[.]com
  • sbawr[.]com
  • sdcne[.]com
  • sebxn[.]com
  • skchc[.]com
  • sktxe[.]com
  • slqcm[.]com
  • ssrxe[.]com
  • suports-usdts[.]top
  • support-eths[.]top
  • support-hk[.]icu
  • svdca[.]com
  • svpve[.]com
  • szeou[.]com
  • tokyeo[.]com
  • usdcei[.]com
  • usdtadae[.]com
  • usdtadap[.]com
  • usdtadaq[.]com
  • usdtadar[.]com
  • usdtadas[.]com
  • usdtadat[.]com
  • usdtadau[.]com
  • usdtadff[.]com
  • usdtado[.]com
  • usdtadoc[.]com
  • usdtadop[.]com
  • usdtadpe[.]com
  • usdtadpp[.]com
  • usdtadsd[.]com
  • usdtadsp[.]com
  • usdtadss[.]com
  • usdtadta[.]com
  • usdtadtp[.]com
  • usdtadtz[.]com
  • usdtadxc[.]com
  • usdtadzc[.]com
  • usdtaear[.]com
  • usdtaeas[.]com
  • usdtaeba[.]com
  • usdtaebb[.]com
  • usdtaebd[.]com
  • usdtaebq[.]com
  • usdtaebr[.]com
  • usdtaebs[.]com
  • usdtaebw[.]com
  • usdtaege[.]com
  • usdtaegg[.]com
  • usdtaegn[.]com
  • usdtaegp[.]com
  • usdtaei[.]com
  • usdtaeod[.]com
  • usdtaeop[.]com
  • usdtaeos[.]com
  • usdtaeou[.]com
  • usdtaeow[.]com
  • usdtaepy[.]com
  • usdtaess[.]com
  • usdtaew[.]com
  • usdtagb[.]com
  • usdtagd[.]com
  • usdtaps[.]com
  • usdtapw[.]com
  • usdtapy[.]com
  • usdtasf[.]com
  • usdtasu[.]com
  • usdtbbx[.]com
  • usdtccab[.]com
  • usdteab[.]com
  • usdtipo[.]com
  • usdtjpg[.]com
  • usdtjpo[.]com
  • usdtnab[.]com
  • usdtskch[.]com
  • usdtskcs[.]com
  • usdtskdk[.]com
  • usdtskib[.]com
  • usdtskja[.]com
  • usdtskjr[.]com
  • usdtsknj[.]com
  • usdtskoo[.]com
  • usdtskpc[.]com
  • usdtskpi[.]com
  • usdtskpl[.]com
  • usdtskpy[.]com
  • usdtskro[.]com
  • usdtsksh[.]com
  • usdtskta[.]com
  • usdtskva[.]com
  • usdtskwb[.]com
  • usdtskxm[.]com
  • usdtskxo[.]com
  • usdtskyc[.]com
  • usdtssa[.]com
  • usdtuab[.]com
  • usdtuxb[.]com
  • usdtxab[.]com
  • usdtxdz[.]com
  • usdtxez[.]com
  • usdtxhn[.]com
  • usdtxhz[.]com
  • usdtxkn[.]com
  • usdtxkz[.]com
  • usdtxnz[.]com
  • usdtxsz[.]com
  • usdtxtz[.]com
  • usdtxyn[.]com
  • usdtzab[.]com
  • usdtzad[.]com
  • usdtzdp[.]com
  • usdtzer[.]com
  • usdtzop[.]com
  • usdtzpo[.]com
  • usdtzqo[.]com
  • usdtzqp[.]com
  • usdtzsw[.]com
  • usdtzsx[.]com
  • usdtzwu[.]com
  • usonkd[.]com
  • wazirx7[.]com
  • wazirx77[.]com
  • wazirx77[.]live
  • wazirx77[.]site
  • wazirx88[.]com
  • wazirx89[.]com
  • wazirx89[.]me
  • wazirx9[.]com
  • wazirx99[.]com
  • yqsusdt[.]com

Adresses e-mail

  • btcioois[@]gmail.com
  • btcotrcy[@]gmail.com
  • ibtc333[@]gmail.com
  • loyalancient1[@]gmail.com
  • usdt8880[@]outlook.com
  • usdtaa008[@]gmail.com
  • usdtabb001[@]gmail.com
  • usdtgrp[@]hotmail.com
  • usdtreboot[@]gmail.com
  • usdts486[@]gmail.com
  • usdtsyz[@]gmail.com
  • usdtyab[@]gmail.com