De inbreuk op het X-account (voorheen Twitter) van Mandiant vorige week was waarschijnlijk het gevolg van een ‘brute-force wachtwoordaanval’, waarbij de hack werd toegeschreven aan een drainer-as-a-service (DaaS)-groep.
“Normaal gesproken, [two-factor authentication] zou dit hebben verzacht, maar door enkele teamovergangen en een verandering in het 2FA-beleid van X waren we niet voldoende beschermd”, aldus het dreigingsinformatiebureau. gezegd in een bericht gedeeld op X.
De aanval, die plaatsvond op 3 januari 2023, stelde de bedreigingsacteur in staat de controle over het X-account van het bedrijf over te nemen en links te verspreiden naar een phishing-pagina die een cryptocurrency-drainer host die wordt bijgehouden als CLINKSINK.
Drainers verwijzen naar kwaadaardige scripts en slimme contracten die de diefstal van digitale activa uit de portemonnee van het slachtoffer vergemakkelijken nadat ze zijn misleid om de transacties goed te keuren.
Volgens de dochteronderneming van Google wordt aangenomen dat meerdere bedreigingsactoren CLINKSINK sinds december 2023 hebben gebruikt om geld en tokens over te hevelen van gebruikers van Solana (SOL)-cryptocurrency.
Zoals waargenomen in het geval van andere drainers zoals Angel Drainer en Inferno Drainer, worden aangesloten bedrijven door de DaaS-operatoren ingeschakeld om de aanvallen uit te voeren in ruil voor een korting (doorgaans 20%) op de gestolen activa.
Het geïdentificeerde activiteitencluster omvat ten minste 35 aangesloten ID’s en 42 unieke Solana-portemonneeadressen, waardoor de actoren gezamenlijk niet minder dan $ 900.000 aan illegale winsten kunnen verdienen.
De aanvalsketens omvatten het gebruik van sociale media en chatapplicaties zoals X en Discord om phishing-pagina’s met cryptocurrency-thema te verspreiden die de doelwitten aanmoedigen om hun portemonnee te verbinden om een valse token-airdrop te claimen.
“Nadat ze hun portemonnee hebben aangesloten, wordt het slachtoffer gevraagd een transactie te ondertekenen bij de afdruiprekdienst, waardoor deze geld van het slachtoffer kan overhevelen”, aldus beveiligingsonderzoekers Zach Riddle, Joe Dobson, Lukasz Lamparski en Stephen Eckels.
CLINKSINK, een JavaScript-drainer, is ontworpen om een pad te openen naar de beoogde portemonnees, het huidige saldo in de portemonnee te controleren en uiteindelijk de diefstal te plegen nadat het slachtoffer is gevraagd een frauduleuze transactie te ondertekenen. Dit betekent ook dat de poging tot diefstal niet zal slagen als het slachtoffer de transactie afwijst.
De drainer heeft ook verschillende varianten voortgebracht, waaronder Chick Drainer (of Rainbow Drainer), waardoor de mogelijkheid ontstaat dat de broncode beschikbaar is voor meerdere bedreigingsactoren, waardoor ze onafhankelijke drainagecampagnes kunnen opzetten.
“De ruime beschikbaarheid en lage kosten van veel drainers, gecombineerd met een relatief hoog winstpotentieel, maakt ze waarschijnlijk aantrekkelijk voor veel financieel gemotiveerde actoren”, aldus Mandiant.
“Gezien de stijging van de waarde van cryptocurrency en de lage toetredingsdrempel voor leeglopende operaties, verwachten we dat financieel gemotiveerde bedreigingsactoren van verschillende niveaus van verfijning in de nabije toekomst afwateringsoperaties zullen blijven uitvoeren.”
De ontwikkeling komt te midden van een toename van aanvallen gericht op legitieme X-accounts om cryptocurrency-zwendel te verspreiden.
Eerder deze week was de X-rekening gekoppeld aan de Amerikaanse Securities and Exchange Commission (SEC). geschonden om ten onrechte te beweren dat de toezichthoudende instantie de “notering en verhandeling van spot-bitcoin op de beurs verhandelde producten” had goedgekeurd, waardoor de bitcoin-prijzen kortstondig stegen.
X heeft sindsdien onthuld de hack was het resultaat van “een ongeïdentificeerd individu dat via een derde de controle verwierf over een telefoonnummer dat aan het @SECGov-account was gekoppeld”, en dat op het account geen tweefactorauthenticatie was ingeschakeld.
