La cuenta de Mandiant X (anteriormente conocida como Twitter) fue comprometida la semana pasada debido a un ataque de fuerza bruta de contraseña, siendo atribuido su hackeo a un grupo de Drainer-as-a-Service (DaaS).
«Normalmente, [la autenticación de dos factores] lo hubiera mitigado, pero debido a algunos cambios en el equipo y a una política diferente en cuanto al 2FA de X, no estábamos adecuadamente protegidos», comunicó la firma de inteligencia de amenazas en una publicación compartida en X.
El ataque, que ocurrió el 3 de enero de 2023, permitió que el actor de amenazas tomara el control de la cuenta de la compañía X y distribuyera enlaces a una página de phishing que alojaba un drainer de criptomonedas llamado CLINKSINK.
Los drainers se refieren a scripts maliciosos y contratos inteligentes que facilitan el robo de activos digitales de las billeteras de las víctimas después de que son engañadas para aprobar las transacciones.
Según la subsidiaria de propiedad de Google, se cree que varios actores de amenazas han aprovechado CLINKSINK desde diciembre de 2023 para saquear fondos y tokens de los usuarios de criptomonedas de Solana (SOL).
Como se observa en el caso de otros drainers como Angel Drainer e Inferno Drainer, los afiliados son reclutados por los operadores del DaaS para llevar a cabo los ataques a cambio de una parte (generalmente el 20%) de los activos robados.
El grupo de actividades identificado incluye al menos 35 IDs de afiliados y 42 direcciones únicas de billeteras de Solana, obteniendo colectivamente a los actores ganancias ilegales de al menos $900,000.
Las cadenas de ataque involucran el uso de redes sociales y aplicaciones de chat como X y Discord para distribuir páginas de phishing con temática de criptomonedas que alientan a las víctimas a conectar sus billeteras para reclamar un falso lanzamiento de tokens.
«Después de conectar su billetera, la víctima es entonces solicitada a firmar una transacción al servicio de drainer, lo que permite que éste saquee fondos de la víctima», dijeron los investigadores de seguridad Zach Riddle, Joe Dobson, Lukasz Lamparski y Stephen Eckels.
CLINKSINK, un drainer de JavaScript, está diseñado para abrir un camino hacia las billeteras objetivo, verificar el saldo actual en la billetera y, en última instancia, llevar a cabo el robo después de solicitar a la víctima que firme una transacción fraudulenta. Esto también significa que el intento de robo no tendrá éxito si la víctima rechaza la transacción.
El drainer también ha creado varias variantes, incluyendo Chick Drainer (o Rainbow Drainer), lo que plantea la posibilidad de que el código fuente esté disponible para múltiples actores de amenazas, permitiéndoles montar campañas de saqueo independientes.
«La amplia disponibilidad y el bajo costo de muchos drainers, combinados con un alto potencial de ganancias, probablemente los convierten en operaciones atractivas para muchos actores motivados financieramente», dijo Mandiant.
«Dado el aumento en los valores de las criptomonedas y la baja barrera de entrada para las operaciones de saqueo, anticipamos que actores motivados financieramente de diversos niveles de sofisticación continuarán realizando operaciones de drenado en el futuro previsible.»
Este desarrollo ocurre en medio de un aumento en los ataques dirigidos a cuentas legítimas de X para difundir estafas de criptomonedas.
A principios de esta semana, la cuenta de X asociada a la Comisión de Bolsa y Valores de EE. UU. (SEC) fue violada para afirmar falsamente que el organismo regulador había aprobado la «cotización y negociación de productos de cambio de bitcoin al contado», provocando un breve aumento en los precios del bitcoin.
X ha revelado desde entonces que el hackeo fue el resultado de «un individuo no identificado que obtuvo el control sobre un número de teléfono asociado con la cuenta @SECGov a través de un tercero» y que la cuenta no tenía habilitada la autenticación de dos factores.
