El compromiso de la cuenta X (anteriormente Twitter) de Mandiant la semana pasada fue probablemente el resultado de un «ataque de contraseña de fuerza bruta», atribuyéndose el ataque a un grupo de drenaje como servicio (DaaS).
«Normalmente, [two-factor authentication] habría mitigado esto, pero debido a algunas transiciones del equipo y un cambio en la política 2FA de X, no estábamos protegidos adecuadamente», dijo la firma de inteligencia de amenazas. dicho en una publicación compartida en X.
El ataque, que tuvo lugar el 3 de enero de 2023, permitió al actor de amenazas tomar el control de la cuenta X de la empresa y distribuir enlaces a una página de phishing que albergaba un drenaje de criptomonedas rastreado como CLINKSINK.
Los drenajes se refieren a scripts maliciosos y contratos inteligentes que facilitan el robo de activos digitales de las billeteras de las víctimas después de que se les engaña para que aprueben las transacciones.
Según la filial propiedad de Google, se cree que múltiples actores de amenazas han aprovechado CLINKSINK desde diciembre de 2023 para desviar fondos y tokens de los usuarios de la criptomoneda Solana (SOL).
Como se observó en el caso de otros drenadores como Angel Drainer e Inferno Drainer, los operadores DaaS obligan a los afiliados a realizar los ataques a cambio de una parte (normalmente el 20%) de los activos robados.
El grupo de actividades identificado involucra al menos 35 ID de afiliados y 42 direcciones únicas de billetera Solana, lo que en conjunto genera a los actores no menos de $900,000 en ganancias ilegales.
Las cadenas de ataque implican el uso de redes sociales y aplicaciones de chat como X y Discord para distribuir páginas de phishing con temas de criptomonedas que alientan a los objetivos a conectar sus billeteras para reclamar una información falsa. lanzamiento aéreo simbólico.
«Después de conectar su billetera, se solicita a la víctima que firme una transacción en el servicio de drenaje, lo que le permite desviar fondos de la víctima», afirman los investigadores de seguridad Zach Riddle, Joe Dobson, Lukasz Lamparski y Stephen Eckels. dicho.
CLINKSINK, un drenaje de JavaScript, está diseñado para abrir un camino hacia las billeteras objetivo, verificar el saldo actual de la billetera y, en última instancia, llevar a cabo el robo después de pedirle a la víctima que firme una transacción fraudulenta. Esto también significa que el intento de robo no tendrá éxito si la víctima rechaza la transacción.
El drenaje también ha generado varias variantes, incluido Chick Drainer (o Rainbow Drainer), lo que aumenta la posibilidad de que el código fuente esté disponible para múltiples actores de amenazas, permitiéndoles montar campañas de drenaje independientes.
«La amplia disponibilidad y el bajo costo de muchos drenajes, combinados con un potencial relativamente alto de ganancias, probablemente los convierta en operaciones atractivas para muchos actores con motivación financiera», dijo Mandiant.
«Dado el aumento de los valores de las criptomonedas y la baja barrera de entrada para las operaciones agotadoras, anticipamos que los actores de amenazas motivados financieramente y de distintos niveles de sofisticación continuarán realizando operaciones agotadoras en el futuro previsible».
El desarrollo se produce en medio de un aumento en los ataques dirigidos a cuentas X legítimas para difundir estafas con criptomonedas.
A principios de esta semana, la cuenta X asociada con la Comisión de Bolsa y Valores de EE. UU. (SEC) fue violado afirmar falsamente que el organismo regulador había aprobado la «cotización y comercialización de productos negociados en bolsa de bitcoin al contado», lo que provocó que los precios de bitcoin aumentaran brevemente.
X ha desde entonces reveló el hack fue el resultado de que «un individuo no identificado obtuvo control sobre un número de teléfono asociado con la cuenta @SECGov a través de un tercero» y que la cuenta no tenía habilitada la autenticación de dos factores.