Американская компания по кибербезопасности и дочерняя компания Google Cloud Mandiant взломали свой аккаунт X (ранее Twitter) более чем на шесть часов неизвестным злоумышленником для распространения мошенничества с криптовалютами.
На момент написания статьи аккаунт был восстановлен на платформе социальных сетей.
В настоящее время неясно, как был взломан аккаунт. Но взломанный аккаунт Mandiant изначально был переименован в "@phantomsolw", чтобы выдавать себя за сервис криптовалютных кошельков Phantom, согласно MalwareHunterTeam и vx-underground.
В частности, мошеннические сообщения из аккаунта рекламировали мошенничество с airdrop, в котором пользователям предлагалось перейти по поддельной ссылке и заработать бесплатные токены, с последующими сообщениями с просьбой к Mandiant "смените пароль, пожалуйста" и "проверьте закладки, когда вам вернут аккаунт".
Mandiant, ведущая компания по анализу угроз, была приобретена Google в марте 2022 года за 5,4 миллиарда долларов. Теперь она является частью Google Cloud.
"Захват аккаунта Mandiant в Twitter мог произойти несколькими способами", - заявила Рэйчел Тобак, генеральный директор SocialProof Security, в X.
"Некоторые люди советуют включить MFA, чтобы предотвратить ATO, и, конечно, это всегда хорошая идея * но также возможно, что кто-то из службы поддержки Twitter был подкуплен или скомпрометирован, что позволило злоумышленнику получить доступ к аккаунту Mandiant * ".
Когда к нему обратились за комментарием, представитель Mandiant сообщил The Hacker News, что компании известно об инциденте, затронувшем аккаунт X, и что она восстановила контроль над аккаунтом.
Разработка началась после того, как CloudSEK обнаружила, что киберпреступники используют грубое принуждение и захватывают проверенные аккаунты Gold на X и продают их в темной Сети по цене до 2000 долларов за аккаунт. Кроме того, было замечено, что злоумышленники нацеливаются на неактивные аккаунты, связанные с законными организациями, чтобы повысить их уровень до Золотого.
Затем скомпрометированные аккаунты используются для размещения ссылок на вредоносные домены, побуждения своих подписчиков присоединяться к случайным каналам, основанным на криптовалюте, и распространения спама.
“Вредоносная программа для кражи информации имеет централизованную сеть ботнетов, где собираются учетные данные с зараженных устройств”, - сказала исследователь безопасности Ришика Десаи. “Затем эти учетные данные дополнительно проверяются в соответствии с требованиями покупателей, такими как индивидуальные или корпоративные аккаунты, количество подписчиков, аккаунты для конкретного региона и т.д.”.
(История была обновлена после публикации, чтобы включить ответ от Mandiant.)
https://thn.news/3UvK59NV
