Двухфакторка не помогла: Mandiant завершила расследование взлома собственного профиля X*

3 января 2024 года аккаунт ИБ-компании Mandiant на платформе Илона Маска X был взломан для распространения фишинговых ссылок на страницы, похищающие криптовалюту.

Взломанная учётная запись была восстановлена без ущерба для систем Mandiant или Google Cloud, однако тысячи пользователи успели клюнуть на удочку злоумышленников.

Расследование показало , что аккаунт, скорее всего, был скомпрометирован в результате атаки методом подбора пароля. «Двухфакторная аутентификация должна была предотвратить взлом, но из-за изменений в команде и политике 2FA на платформе X мы оказались недостаточно защищены. Мы изменили наш процесс двухфакторной аутентификации, чтобы предотвратить повторение подобных инцидентов», — пояснили в Mandiant.

С декабря 2023 года злоумышленники используют вредоносное ПО под названием CLINKSINK для кражи средств и токенов у пользователей Solana. Вредоносная кампания включает в себя распространение фишинговых страниц на платформах X и Discord, маскирующихся под легитимные криптовалютные ресурсы, такие как Bonk, DappRadar и Phantom.

CLINKSINK представляет собой не просто вредонос, но полноценный комплекс услуг Drainer-as-a-Service (DaaS), который предоставляет злоумышленникам готовую программу-дрейнер для кражи криптовалюты.

Исследователи идентифицировали 35 различных аффилированных идентификаторов и 42 адреса кошельков Solana, связанных с этой кампанией. Анализ показал, что операторы и аффилиаты заработали как минимум 900 тысяч долларов, причем около 80% средств обычно доставалось аффилиатам, а остальное — операторам.

В ходе атаки жертвам предлагается подключить свой криптовалютный кошелёк якобы для получения бесплатных токенов, после чего они подписывают фальшивые транзакции, позволяющие злоумышленникам похитить все средства с этого кошелька.

В ходе расследования специалистами Mandiant было обнаружено несколько DaaS-предложений, использующих дрейнер CLINKSINK или его варианты, включая «Chick Drainer» и «Rainbow Drainer».

Также эксперты выявили устойчивый интерес злоумышленников к криптовалютам и различным смежным сервисам, что может привести к увеличению количества подобных атак в будущем.

Эксперты Mandiant представили в конце своего отчёта правило YARA для идентификации активности CLINKSINK, которое может помочь другим пользователям защитить свои активы.

Рост популярности и стоимости криптовалют, а также низкий порог входа для осуществления атак делают дрейнер-операции привлекательными для финансово мотивированных злоумышленников. Важно оставаться бдительными и использовать надёжные методы защиты, чтобы не попасться в капкан криптомошенников.

* Социальная сеть запрещена на территории Российской Федерации.