Компрометация учетной записи Mandiant X (ранее Twitter) на прошлой неделе, вероятно, была результатом "атаки паролем методом перебора", приписывающей взлом группе "слив как услуга" (DaaS).
"Обычно [двухфакторная аутентификация] позволила бы избежать этого, но из-за некоторых переходов в команде и изменения политики 2FA X мы не были должным образом защищены", - говорится в сообщении компании по анализу угроз, опубликованном на X.
Атака, произошедшая 3 января 2023 года, позволила злоумышленнику получить контроль над учетной записью X компании и распространять ссылки на фишинговую страницу, на которой размещен слив криптовалюты, отслеживаемый как CLINKSINK.
"Сливатели" относятся к вредоносным скриптам и смарт-контрактам, которые облегчают кражу цифровых активов из кошельков жертв после того, как их обманом заставляют одобрить транзакции.
По данным дочерней компании Google, считается, что с декабря 2023 года несколько участников угрозы использовали CLINKSINK для выкачивания средств и токенов у пользователей криптовалюты Solana (SOL).
Как было замечено в случае с другими трайнерами, такими как Angel Drainer и Inferno Drainer, операторы DaaS подключают аффилированных лиц для проведения атак в обмен на сокращение (обычно на 20%) украденных активов.
Идентифицированный кластер действий включает по меньшей мере 35 партнерских идентификаторов и 42 уникальных адреса кошелька Solana, что в совокупности принесло участникам незаконную прибыль в размере не менее 900 000 долларов.
Цепочки атак включают использование социальных сетей и приложений для чатов, таких как X и Discord, для распространения фишинговых страниц на криптовалютную тематику, которые побуждают цели подключать свои кошельки для получения поддельных токенов airdrop.
"После подключения своего кошелька жертве предлагается подписать транзакцию с сервисом drainer, что позволяет ему перекачивать средства у жертвы", - сказали исследователи безопасности Зак Риддл, Джо Добсон, Лукаш Лампарски и Стивен Экелс.
CLINKSINK, программа для сбора данных на JavaScript, предназначена для открытия доступа к целевым кошелькам, проверки текущего баланса на кошельке и, в конечном итоге, совершения кражи после того, как жертва подписала мошенническую транзакцию. Это также означает, что попытка кражи не увенчается успехом, если жертва отклонит транзакцию.
The drainer также породил несколько вариантов, в том числе Chick Drainer (или Rainbow Drainer), повышая вероятность того, что исходный код доступен нескольким субъектам угрозы, позволяя им проводить независимые кампании по удалению.
"Широкая доступность и низкая стоимость многих дренажных систем в сочетании с относительно высоким потенциалом получения прибыли, вероятно, делают их привлекательными операциями для многих финансово мотивированных участников", - сказал Мандиант.
"Учитывая рост стоимости криптовалют и низкий барьер для входа для операций по сливу, мы ожидаем, что финансово мотивированные субъекты угроз различного уровня сложности продолжат проводить операции по сливу в обозримом будущем".
Разработка происходит на фоне всплеска атак, нацеленных на законные учетные записи X с целью распространения мошенничества с криптовалютами.
Ранее на этой неделе учетная запись X, связанная с Комиссией по ценным бумагам и биржам США (SEC), была взломана с ложным утверждением, что регулирующий орган одобрил "листинг и торговлю спотовыми биржевыми продуктами Bitcoin", что привело к кратковременному скачку цен на биткоин.
С тех пор X раскрыла, что взлом был результатом того, что "неустановленное лицо получило контроль над номером телефона, связанным с учетной записью @SECGov, через стороннюю организацию", и что в учетной записи не была включена двухфакторная аутентификация.
