La société de cybersécurité et filiale de Google, Mandiant, a déclaré que son compte Twitter/X avait été détourné la semaine dernière par un gang de Drainer-as-a-Service (DaaS) dans ce qu’elle a décrit comme « probablement une attaque par mot de passe par force brute. »

« Normalement, la 2FA aurait atténué cela, mais en raison de certaines transitions d’équipe et d’un changement dans la politique 2FA de X, nous n’étions pas suffisamment protégés. Nous avons apporté des modifications à notre processus pour nous assurer que cela ne se reproduise plus », a déclaré la société.

L’acteur de la menace qui a repris le compte de réseau social X de Mandiant l’a utilisé pour partager des liens, redirigeant les plus de 123 000 abonnés de l’entreprise vers une page de phishing pour voler de la crypto-monnaie.

« En travaillant avec X, nous avons pu reprendre le contrôle du compte et, sur la base de notre enquête des jours suivants, nous n’avons trouvé aucune preuve d’activité malveillante sur, ou de compromission de, tout système Mandiant ou Google Cloud qui a conduit à la compromission de ce compte », a ajouté la société.

Comme Mandiant l’a découvert lors d’une enquête de suivi sur l’incident, l’attaquant a utilisé un égouttoir de portefeuille baptisé CLINKSINK. Ce même draineur est utilisé depuis décembre pour voler des fonds et des jetons aux utilisateurs de la crypto-monnaie Solana (SOL) dans le cadre d’une campagne à grande échelle impliquant au moins 35 identifiants d’affiliation liés à un draineur partagé en tant que service (DaaS).

Les affiliés utilisent des scripts de drainage pour voler de la crypto-monnaie et devraient donner aux opérateurs une part de 20% de tous les fonds volés. Ils utilisent des comptes X et Discord détournés pour partager des pages de phishing sur le thème de la crypto-monnaie se faisant passer pour Phantom, DappRadar et BONK avec de faux thèmes de largage de jetons.

Les cibles visitant ces pages malveillantes sont invitées à lier leurs portefeuilles cryptographiques pour réclamer le largage de jetons, permettant aux acteurs malveillants de siphonner leurs fonds s’ils autorisent une transaction vers le service drainer.

La valeur estimée des actifs volés lors de ces récentes attaques s’élève au minimum à 900 000 dollars, selon Mandiant.

« Les campagnes identifiées comprenaient au moins 35 identifiants d’affiliation associés à un égouttoir en tant que service (DaaS) commun, qui utilise CLINKSINK », a déclaré Mandiant.

« Le ou les opérateurs de ces AAD fournissent les scripts de drainage aux affiliés en échange d’un pourcentage des fonds volés, généralement autour de 20%. »

X utilisateurs attaqués
Depuis le début de l’année, une vague massive de violations de comptes a touché X utilisateurs, des organisations vérifiées se faisant pirater pour propager des escroqueries par crypto-monnaie et des liens vers des draineurs de portefeuille.

Hier, le compte de médias sociaux X @SECGov de la Securities and Exchange Commission des États-Unis a également été compromis pour publier une fausse annonce concernant l’approbation des ETF Bitcoin (fonds négociés en bourse) sur les bourses de valeurs, ce qui a entraîné une brève flambée des prix du Bitcoin.

L’équipe de sécurité de X a déclaré plus tard que la prise de contrôle était due au détournement d’un numéro de téléphone associé au compte @SECGov lors d’une attaque par échange de cartes SIM. X a également noté que le compte de la SEC n’avait pas activé l’authentification à deux facteurs (2FA) au moment du piratage du compte.

Auparavant, les comptes Netgear et Hyundai MEA X étaient également détournés pour promouvoir de faux sites de crypto-monnaie poussant les draineurs de portefeuille, le compte X de la société de sécurité Web3 CertiK ayant été piraté une semaine auparavant dans le même but malveillant.

​De plus, les acteurs de la menace s’emparent de plus en plus de comptes gouvernementaux et commerciaux X vérifiés avec des coches  » or  » et « grises » pour légitimer les tweets redirigeant les utilisateurs vers des escroqueries par crypto-monnaie, des sites de phishing et des sites diffusant des draineurs de crypto.

Les utilisateurs de X sont également soumis à un flot incessant d’annonces malveillantes de crypto-monnaie conduisant à de faux parachutages, diverses escroqueries et, bien sûr, des draineurs de crypto-monnaie et de NFT.

Comme les experts en menaces de la blockchain ScamSniffer l’ont déclaré en décembre, un seul égouttoir connu sous le nom de « MS Drainer » a été utilisé pour voler environ 59 millions de dollars de crypto-monnaie à 63 000 personnes lors d’une campagne publicitaire X entre mars et novembre.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *