Фирма по кибербезопасности и дочерняя компания Google Mandiant заявляет, что ее аккаунт Twitter / X был взломан на прошлой неделе группой Crypto Drainer-as-a-Service (DaaS) в результате того, что она описала как "вероятную атаку паролем методом перебора".
"Обычно 2FA смягчила бы это, но из-за некоторых переходов в команде и изменения политики 2FA X мы не были должным образом защищены. Мы внесли изменения в наш процесс, чтобы гарантировать, что это не повторится ", - заявили в компании.
Злоумышленник, завладевший аккаунтом Mandiant X в социальной сети, использовал его для обмена ссылками, перенаправив более 123 000 подписчиков компании на фишинговую страницу с целью кражи криптовалюты.
"Работая с X, мы смогли восстановить контроль над учетной записью, и, основываясь на нашем расследовании в последующие дни, мы не обнаружили никаких доказательств вредоносной активности или компрометации каких-либо облачных систем Mandiant или Google Cloud, которые привели к компрометации этой учетной записи", - добавила компания.
Как выяснил Mandiant в ходе последующего расследования инцидента, злоумышленник использовал устройство для слива кошельков под названием CLINKSINK. Этот же слив использовался с декабря для кражи средств и токенов у пользователей криптовалюты Solana (SOL) в рамках крупномасштабной кампании, в которой задействовано не менее 35 партнерских идентификаторов, связанных с общим сливом как-услугой (DaaS).
Аффилированные лица используют скрипты drainer для кражи криптовалюты и, как ожидается, будут отдавать операторам 20% от всех украденных средств. Они используют взломанные аккаунты X и Discord для распространения фишинговых страниц на криптовалютную тематику, выдавая себя за Phantom, DappRadar и BONK с поддельными темами для раздачи токенов.
Цели, посещающие эти вредоносные страницы, просят привязать свои криптокошельки для получения токена airdrop, что позволяет злоумышленникам перекачивать их средства, если они авторизуют транзакцию в сервисе drainer.
По данным Mandiant, оценочная стоимость активов, украденных в ходе этих недавних атак, составляет минимум 900 000 долларов.
"Идентифицированные кампании включали по меньшей мере 35 партнерских идентификаторов, связанных с общим drainer-as-a-service (DaaS), который использует CLINKSINK", - сказал Мандиант.
"Оператор (ы) этого DaaS предоставляет скрипты для слива аффилированным лицам в обмен на определенный процент от украденных средств, обычно около 20%".
X пользователи подверглись атаке
С начала года массовая волна взломов учетных записей затронула пользователей X: проверенные организации были взломаны для распространения мошенничества с криптовалютами и ссылок на слив кошельков.
Вчера учетная запись X @ SECGov в социальной сети Комиссии по ценным бумагам и биржам США также была скомпрометирована из-за публикации поддельного объявления об одобрении биткойн ETF (биржевых фондов) на биржах ценных бумаг, что привело к кратковременному скачку цен на биткойн.
Позже команда безопасности X заявила, что захват произошел из-за кражи телефонного номера, связанного с учетной записью @SECGov, в результате атаки с заменой SIM-карты. X также отметил, что в момент взлома учетной записи SEC не была включена двухфакторная аутентификация (2FA).
Ранее также были взломаны аккаунты Netgear и Hyundai MEA X. для продвижения поддельных криптовалютных сайтов, продвигающих слив кошельков, при этом аккаунт X охранной фирмы Web3 CertiK был взломан неделей ранее с той же злонамеренной целью.
Кроме того, злоумышленники все чаще захватывают проверенные правительственные и бизнес-аккаунты X с "золотыми" и "серыми" галочками, чтобы придать легитимность твитам, перенаправляющим пользователей на мошенничество с криптовалютами, фишинговые сайты и сайты, распространяющие крипто-сливы.
Пользователи X также подвергаются непрерывному потоку вредоносной рекламы криптовалют, ведущей к поддельным сбросам, различным мошенничествам и, конечно же, сливу криптовалюты и NFT.
Как заявили в декабре эксперты по угрозам блокчейна ScamSniffer, один waller Drainer, известный как "MS Drainer", был использован для кражи криптовалюты на сумму примерно 59 миллионов долларов у 63 000 человек в ходе рекламной кампании X в период с марта по ноябрь.
Загадка на размышление, даётся 30 секунд. Какой пароль стоял в соцсети у ИБ-фирмы, что его можно было брутфорснуть?
Источник: https://www.bleepingcomputer.com