Una campaña de phishing activa de un solo clic tiene como objetivo Las cuentas X de individuos de alto perfil, incluidos periodistas, figuras políticas e incluso un empleado X, para secuestrarlos y explotarlos para cometer fraudes con criptomonedas.
Los investigadores de SentinelLabs descubrieron la campaña, que según dijeron parece ser más prominente en X, pero no se limita a una sola plataforma de redes sociales, revelaron en un reciente postEl objetivo de los atacantes es, en última instancia, utilizar el alcance potencial de las cuentas de alto impacto (que también incluyen organizaciones de tecnología y criptomonedas, así como propietarios de cuentas con nombres de usuario valiosos y cortos) para atacar a personas con estafas de criptomonedas y obtener ganancias financieras, dijeron los investigadores.
“Una vez que una cuenta es tomada, el atacante bloquea rápidamente al propietario legítimo y comienza a publicar oportunidades fraudulentas de criptomonedas o enlaces a sitios externos diseñados para atraer objetivos adicionales, a menudo con un tema relacionado con el robo de criptomonedas”, escribieron en la publicación los investigadores de amenazas de SentinelLabs Tom Hegel, Jim Walter y Alex Delamotte.
En última instancia, esta vulneración de cuentas de alto perfil, una táctica utilizada anteriormente por los ciberdelincuentes, sobre todo en Apuntando a cuentas de Twitter de celebridades en 2020 — permite al atacante llegar a una audiencia más amplia de posibles víctimas secundarias, maximizando sus ganancias financieras, señalaron los investigadores.
De hecho, la campaña también es similar a Uno descubierto el año pasado que comprometió la cuenta de Linux Tech Tips X junto con otros usuarios de alto perfil. Los investigadores descubrieron una infraestructura relacionada y mensajes de phishing similares utilizados en ambas campañas, evidencia que sugiere que el mismo actor de amenazas está detrás de ambas, dijeron. Sin embargo, en este momento no se sabe de qué región del mundo proviene el actor, o quién podría estar detrás de la campaña.
Señuelos clásicos de criptomonedas falsas e infraestructura adaptable
SentinelLabs observó una variedad de señuelos de phishing utilizados en la campaña, incluido un "aviso clásico de inicio de sesión de cuenta" que se dirige a las personas con un correo electrónico que les informa que alguien inició sesión en su cuenta desde un nuevo dispositivo. El correo electrónico incluye un enlace que sugiere que "tomen medidas para proteger" su cuenta, lo que en realidad conduce a un sitio que suplanta las credenciales X, según la publicación.
Otros señuelos basados en correo electrónico utilizan temas que violan los derechos de autor para lograr que los usuarios hagan clic en una página de phishing que les solicita que ingresen sus credenciales X. En casos recientes, la página de phishing a la que se redirigió a las víctimas abusó del dominio "AMP Cache" de Google cdn.ampproject[.]org para evadir detecciones de correo electrónico comunes, según SentinelLabs.
La infraestructura utilizada en la cuenta sugiere que el actor detrás de la campaña es “altamente adaptable, explora continuamente nuevas técnicas mientras mantiene un motivo financiero claro”, escribieron los investigadores.
La actividad reciente utilizó el dominio securelogins-x[.]com para enviar correos electrónicos y x-recoverysupport[.]com para alojar páginas de phishing. Como “cualquiera de estos dominios puede considerarse como un servicio de entrega de correo electrónico o de alojamiento de páginas de phishing”, la actividad indica “un nivel de informalidad y flexibilidad en el uso de la infraestructura”, observaron los investigadores.
Los atacantes también han organizado una serie de actividades recientes en una IP asociada a un servicio VPS con sede en Belice llamado Dataclub. Los dominios asociados a la campaña se han registrado principalmente a través del proveedor de alojamiento turco Turkticaret, pero esto por sí solo no es suficiente para confirmar que los atacantes son de Turquía, añadieron los investigadores.
Proteja sus cuentas sociales corporativas
Las cuentas X de alto perfil suelen ser el objetivo de los actores de amenazas porque controlarlas puede ayudarlos a llegar a un público más amplio con actividades fraudulentas. A menudo, esta actividad implica estafas de criptomonedas destinadas al fraude financiero, como un caso el año pasado En qué empresa de seguridad Mandiant Perdí el control temporalmente de su cuenta X a los operadores de malware drenador de criptomonedas.
“El panorama de las criptomonedas ofrece a los actores de amenazas con motivaciones financieras múltiples oportunidades de lucro y fraude”, señalaron los investigadores en la publicación. “Si bien el marketing de monedas y tokens ha sido durante mucho tiempo irreverente y basado en memes, los acontecimientos recientes han desdibujado aún más la línea entre proyectos legítimos y estafas”.
Para proteger una cuenta X, los investigadores recomendaron lo obvio: los usuarios deben mantener una buena higiene de contraseñas utilizando una contraseña única, habilitando la autenticación de dos factores (2FA) y evitando compartir credenciales con servicios de terceros.
Los usuarios también deberían tener especial cuidado con los mensajes que contienen enlaces a alertas de cuentas o avisos de seguridad, y siempre verificar las URL antes de hacer clic en ellas. Si es necesario restablecer la contraseña de la cuenta por motivos de seguridad, se debería hacerlo directamente a través del sitio web o la aplicación oficial en lugar de confiar en enlaces no solicitados, aconsejaron los investigadores.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/endpoint-security/one-click-phishing-campaign-high-profile-x-accounts
