Mandiant ha perso il controllo dell’account su X per alcune ore, durante le quali ignoti cybercriminali hanno pubblicato post che invitavano gli utenti a visitare siti per ricevere criptovalute in regalo. L’azienda, acquisita da Google nel 2022, ha fornito maggiori dettagli sull’accaduto, svelando che lo scopo era distribuire il crypto drainer CLINKSINK.
Account senza autenticazione in due fattori
Nonostante sia un’azienda di sicurezza informatica, Mandiant ha commesso un’imperdonabile errore. I cybercriminali hanno scoperto la password dell’account tramite un attacco di forza bruta. Il tentativo ha auto successo perché il team che gestisce l’account non aveva attivato l’autenticazione in due fattori.
Normally, 2FA would have mitigated this, but due to some team transitions and a change in X’s 2FA policy, we were not adequately protected. We've made changes to our process to ensure this doesn't happen again.
— Mandiant (part of Google Cloud) (@Mandiant) January 10, 2024
In seguito all’indagine avviata sull’accaduto, Mandiant ha scoperto che l’account è stato compromesso da una gang Drainer-as-a-Service (DaaS). Durante la campagna in corso dal mese di dicembre viene distribuito il crypto drainer CLINKSINK. In base alle prime stime sono stati rubati circa 900.000 dollari in criptovalute.
I cybercriminali pubblicizzano inesistenti airdrop di Phantom, DappRadar e BONK su Discord e X, invitando gli utenti a visitare siti infetti. Quando le ignare vittime collegano il loro wallet, uno script JavaScript (CLINKSINK) mostra la richiesta di conferma della transazione. In realtà viene svuotato il portafoglio digitale.
Nelle ultime settimane sono notevolmente aumentati gli attacchi contro utenti di X. Anche l’account ufficiale della SEC è stato compromesso. L’azienda californiana ha evidenziato che non era stata attivata l’autenticazione in due fattori, come nel caso di Mandiant. Molti utenti hanno inoltre segnalato un netto incremento di inserzioni fasulle su criptovalute e NFT.