Mandiant reveló que su cuenta en la plataforma de redes sociales X, anteriormente Twitter, fue pirateada como parte de una campaña de robo de criptomonedas que generó al menos $900,000 dólares para los ciberdelincuentes.
La cuenta de Mandiant en X fue secuestrada a principios de enero y abusada para promover un enlace a un sitio web falso que afirmaba estar afiliado a la billetera de criptomonedas Phantom legítima.
La investigación de Mandiant reveló que la cuenta probablemente se vio comprometida como resultado de un “ataque de contraseña de fuerza bruta” y señaló que el incidente solo afectó a una cuenta. También señaló que no había evidencia de que los sistemas Mandiant o Google Cloud estuvieran comprometidos en relación con este evento.
“Normalmente, 2FA habría mitigado esto, pero debido a algunas transiciones del equipo y un cambio en la política 2FA de X, no estábamos protegidos adecuadamente. Hemos realizado cambios en nuestro proceso para garantizar que esto no vuelva a suceder”, explicó la empresa.
Mandiant también ha publicado una entrada de blog que detalla la campaña como parte de la cual su La campaña, llamada ClinkSink, involucró a numerosos actores de amenazas que utilizaron el llamado drenaje como servicio (DaaS) para robar fondos y tokens de los propietarios de la criptomoneda Solana.
En la operación ClinkSink, los ciberdelincuentes han utilizado aplicaciones como X y Discord para distribuir enlaces a páginas de phishing que supuestamente están asociadas con recursos legítimos de criptomonedas como Bonk, DappRadar y Phantom.
Las páginas de phishing afirman ofrecer tokens de criptomonedas a través de un lanzamiento aéreo y albergan código JavaScript malicioso diseñado para vaciar las billeteras de criptomonedas de las víctimas.
“Cuando una víctima visita una de estas páginas de phishing, se siente tentada a conectar su billetera para reclamar un lanzamiento aéreo simbólico. Después de conectar su billetera, se le pide a la víctima que firme una transacción en el servicio de drenaje, lo que le permite desviar fondos de la víctima”, explicó Mandiant.
Sus investigadores han identificado 35 ID de afiliados diferentes y 42 direcciones de billetera Solana asociadas con esta campaña. Un análisis mostró que los operadores y afiliados ganaron al menos 900.000 dólares, y aproximadamente el 80% de los fondos normalmente iban a los afiliados y el resto a los operadores.
“Mandiant identificó múltiples ofertas de DaaS de diferentes marcas que parecen utilizar el escurridor o variante ClinkSink, incluido ‘Chick Drainer’, que ahora puede funcionar al menos en parte como ‘Rainbow Drainer'”, dijo Mandiant. “Si bien es posible que sean operados por un actor de amenazas común, existe cierta evidencia de que el código fuente de ClinkSink está disponible para múltiples actores de amenazas, lo que potencialmente podría permitir que actores de amenazas no relacionados realicen operaciones de drenaje y/o DaaS independientes”.
Mandiant no es la única entidad de alto perfil cuya cuenta X fue pirateada en los últimos días como parte de un esquema de criptomonedas. Otras víctimas incluyen la Comisión de Bolsa y Valores de EE. UU. (SEC), la empresa de seguridad blockchain CertiK, la plataforma de precios de criptomonedas CoinGecko, la senadora canadiense Amina Gerba, Netgear y Hyundai.