La compromission du compte X (anciennement Twitter) de Mandiant la semaine dernière était probablement le résultat d’une « attaque de mot de passe par force brute », attribuant le piratage à un groupe de draineurs en tant que service (DaaS).
« Normalement, [two-factor authentication] Cela aurait atténué cela, mais en raison de certaines transitions d’équipe et d’un changement dans la politique 2FA de X, nous n’étions pas suffisamment protégés », a déclaré la société de renseignement sur les menaces. dit dans un post partagé sur X.
L’attaque, qui a eu lieu le 3 janvier 2023, a permis à l’auteur de la menace de prendre le contrôle du compte X de l’entreprise et de distribuer des liens vers une page de phishing hébergeant un draineur de cryptomonnaie identifié sous le nom de CLINKSINK.
Les draineurs font référence à des scripts malveillants et à des contrats intelligents qui facilitent le vol d’actifs numériques dans les portefeuilles des victimes après qu’elles aient été amenées à approuver les transactions.
Selon la filiale appartenant à Google, plusieurs acteurs malveillants auraient exploité CLINKSINK depuis décembre 2023 pour siphonner les fonds et les jetons des utilisateurs de crypto-monnaie Solana (SOL).
Comme observé dans le cas d’autres draineurs comme Angel Drainer et Inferno Drainer, les affiliés sont impliqués par les opérateurs DaaS pour mener les attaques en échange d’une part (généralement 20 %) des actifs volés.
Le cluster d’activités identifié implique au moins 35 identifiants d’affiliés et 42 adresses de portefeuille Solana uniques, rapportant collectivement aux acteurs pas moins de 900 000 $ de bénéfices illégaux.
Les chaînes d’attaque impliquent l’utilisation de réseaux sociaux et d’applications de chat telles que X et Discord pour distribuer des pages de phishing sur le thème des cryptomonnaies qui encouragent les cibles à connecter leurs portefeuilles pour revendiquer un faux largage de jetons.
« Après avoir connecté son portefeuille, la victime est ensuite invitée à signer une transaction avec le service Drainer, ce qui lui permet de siphonner les fonds de la victime », ont déclaré les chercheurs en sécurité Zach Riddle, Joe Dobson, Lukasz Lamparski et Stephen Eckels. dit.
CLINKSINK, un draineur JavaScript, est conçu pour ouvrir une voie vers les portefeuilles ciblés, vérifier le solde actuel du portefeuille et finalement réaliser le vol après avoir demandé à la victime de signer une transaction frauduleuse. Cela signifie également que la tentative de vol échouera si la victime refuse la transaction.
Le draineur a également engendré plusieurs variantes, notamment Chick Drainer (ou Rainbow Drainer), ce qui soulève la possibilité que le code source soit disponible pour plusieurs acteurs malveillants, leur permettant ainsi de monter des campagnes de drainage indépendantes.
« La grande disponibilité et le faible coût de nombreux draineurs, combinés à un potentiel de profit relativement élevé, en font probablement des opérations attractives pour de nombreux acteurs financièrement motivés », a déclaré Mandiant.
« Compte tenu de l’augmentation des valeurs des cryptomonnaies et de la faible barrière à l’entrée pour les opérations drainantes, nous prévoyons que les acteurs de la menace motivés par des raisons financières et de différents niveaux de sophistication continueront à mener des opérations drainantes dans un avenir prévisible. »
Ce développement intervient au milieu d’une augmentation des attaques ciblant les comptes X légitimes afin de propager des escroqueries à la crypto-monnaie.
Plus tôt cette semaine, le compte X associé à la Securities and Exchange Commission (SEC) des États-Unis a été violé pour prétendre à tort que l’organisme de réglementation avait approuvé « la cotation et la négociation de produits négociés en bourse au comptant Bitcoin », provoquant une brève hausse des prix du Bitcoin.
X a depuis révélé le piratage était le résultat « d’un individu non identifié ayant obtenu le contrôle d’un numéro de téléphone associé au compte @SECGov par l’intermédiaire d’un tiers » et que l’authentification à deux facteurs n’était pas activée sur le compte.