Una ola de ataques de apropiación de cuentas de Twitter/X ha visto
comprometidas y utilizadas múltiples cuentas de redes sociales de alto perfil
para difundir contenido malicioso destinado a robar criptomonedas. Los ataques
utilizan una familia de malware conocida como crypto-drainers y, a menudo, se
suministran a través de plataformas Drainer-as-a-Service (DaaS).
Algunas víctimas recientes de alto perfil incluyen a la
SEC
y
Mandiant.
Crypto Drainers y Drainers as a Service han recibido poca
atención por parte de los investigadores de seguridad hasta la fecha a pesar
de haber existido desde al menos 2021. En esta publicación, centramos la
atención en Crypto Drainers y DaaS para crear conciencia sobre esta
familia de amenazas y su impacto en las organizaciones.
Casos recientes
La cuenta de redes sociales X @SECGov de la Comisión de Bolsa y Valores de EE.
UU. también se vio comprometida para publicar un anuncio falso sobre la aprobación de ETF (fondos cotizados en bolsa) de Bitcoin en bolsas de valores, lo que
provocó que los precios de Bitcoin se dispararan brevemente.
El equipo de seguridad de X dijo más tarde que el secuestro se debió al secuestro de un número de teléfono
asociado con la cuenta @SECGov en un ataque de intercambio de SIM. X también
señaló que la cuenta de la SEC no tenía habilitada la autenticación de dos
factores (2FA) en el momento en que fue hackeada.
Anteriormente, las cuentas Netgear y Hyundai MEA X también fueron secuestradas para promover sitios de criptomonedas falsos que empujaban a los
vaciadores de billeteras, y la cuenta X de la firma de seguridad Web3 CertiK fue hackeada una semana antes con el mismo objetivo malicioso.
Además, los actores de amenazas se están apoderando cada vez más de cuentas X gubernamentales y empresariales verificadas
con marcas de verificación ‘doradas’ y ‘grises’ para dar legitimidad a los
tweets que redirigen a los usuarios a estafas de criptomonedas, sitios de
phishing y sitios que difunden drenadores de criptomonedas.
Los usuarios de X también se encuentran bajo una avalancha incesante de anuncios maliciosos de criptomonedas que conducen a lanzamientos aéreos falsos, diversas
estafas y, por supuesto, drenajes de criptomonedas y NFT.
Como
dijeron los expertos en amenazas Blockchain de ScamSniffer
en diciembre, se utilizó un drenaje de una sola pared conocido como ‘MS
Drainer’ para robar aproximadamente 59 millones de dólares en criptomonedas de 63.000 personas en un anuncio publicitario X entre
marzo y noviembre.
Introducción a DaaS y Crypto Drainers
Un Crypto Drainers es una herramienta o script malicioso que
está especialmente diseñado para transferir o redirigir criptomonedas desde la
billetera de una víctima a aquella que está bajo el control de un atacante.
Los Drainers dirigidos a MetaMask aparecieron por primera vez alrededor de
2021, donde
se comercializaron abiertamente en foros y mercados clandestinos.
Sin embargo, los ataques de drenaje pueden darse de varias formas. Los
contratos inteligentes maliciosos pueden contener funciones ocultas para
activar transferencias no autorizadas. Otras formas de drenadores pueden
explotar activadores basados en NFT o tokens para generar recursos falsos que
a su vez facilitan la transferencia oculta y no autorizada de criptomonedas.
Este tipo de malware a menudo se proporcionan a través de un modelo
Drainer-as-a-Service, en el que los proveedores de DaaS ofrecen software y
soporte a los ciberdelincuentes por un porcentaje de los fondos robados. Los
servicios que normalmente ofrece un DaaS moderno incluyen:
- Scripts llave en mano para drenaje de criptomonedas
- Contratos inteligentes personalizables
- Kits de phishing y servicios de ingeniería social
- Servicios premium OPSEC o de seguridad y anonimato
- Asistencia de integración y mezcla/ofuscación.
- Actualizaciones continuas, mantenimiento y soporte técnico.
Por ejemplo, se utilizan scripts de drenaje de criptomonedas llave en
mano o listos para usar para facilitar la automatización del drenaje de
criptomonedas de las carteras de destino. Están estructurados para que sean
fáciles de entender e implementar, sin necesidad de conocimientos previos.
La criptomoneda robada se divide entre los afiliados (usuarios de DaaS) y los
operadores de Daas. Normalmente, los operadores se quedan con entre el 5% y el
25% de lo recaudado, dependiendo de los servicios prestados.
La amenaza de ataques de apropiación de cuentas
El drenaje de criptomonedas puede ser enormemente rentable para los actores de
amenazas cuando logran hacerse cargo de cuentas de redes sociales de alto
perfil y utilizarlas para enviar contenido malicioso a grandes audiencias
desde lo que parece ser una fuente confiable, como le sucedió recientemente a
Mandiant y la Comisión de Bolsa y Valores de EE.UU.
Otras adquisiciones de cuentas de alto perfil incluyen CertiK y Bloomberg
Crypto. A finales de diciembre,
se informó
que un estafador de criptomonedas robó 59 millones de dólares de 63.000
personas utilizando más de 10.000 sitios web de phishing.
Estos ataques suelen comenzar con un ataque de fuerza bruta a la contraseña.
Esto implica intentar sistemáticamente todas las contraseñas posibles hasta
encontrar la correcta. Las cuentas que carecen de 2FA o MFA son
particularmente vulnerables a este tipo de ataques.
Una vez que un atacante obtiene acceso a la cuenta, puede distribuir enlaces
de phishing a sitios web que alojan drenajes. Por ejemplo, pueden publicar
contenido desde la cuenta que ofrece NFT gratuitos u otras recompensas a las
personas que visitan el sitio y firman una transacción. Las víctimas
involuntarias, creyendo que recibirán algo de valor, están demasiado
dispuestas a conectar sus billeteras, sin saber que el sitio contiene un
script para vaciar sus billeteras.
Los atacantes utilizan plataformas como X, Telegram y Discord para difundir
sus enlaces de phishing, aprovechando la confianza y el alcance de las cuentas
respetadas pero comprometidas para atacar a más víctimas.
Anatomía de un ataque | el escurridor CLINKSINK
En el
incidente de Mandiant, los
atacantes utilizaron malware llamado CLINKSINK, un drenaje de JavaScript ofuscado que acecha a las víctimas que caen en
enlaces de phishing con señuelos con temas de criptomonedas.
El actor de amenazas que se hizo cargo de la cuenta de redes sociales X de
Mandiant la usó para compartir enlaces, redirigiendo a los más de 123.000
seguidores de la compañía a una página de phishing para robar criptomonedas.
Estos señuelos a menudo se hacen pasar por recursos legítimos de
criptomonedas, incluidos BONK, DappRadar y Phantom.
Se incita a las víctimas a conectar sus billeteras para reclamar un
«airdrop»: una distribución de tokens o monedas a otras direcciones de
billetera como recompensa o promoción. Luego se les pide que firmen una
«transacción» para completar la transferencia. Este es el paso crucial para
los ladrones de criptomonedas, ya que implica que la víctima utilice su clave
privada para autenticarse en la red Blockchain. Si el usuario completa
este paso, el drenaje criptográfico puede proceder a transferir el contenido
de la billetera de la víctima a la suya.
Mandiant dice que identificó 42 direcciones de billetera únicas utilizadas
para recibir fondos robados en campañas recientes de CLINKSINK como la
asociada con su reciente adquisición de cuenta Twitter/X. Varias ofertas de
DaaS diferentes utilizan el malware CLINKSINK y no está claro en este momento
qué DaaS pudo haber estado involucrado con el incidente particular relacionado
con Mandiant.
Los drenajes de criptomonedas están aumentando
Los drenadores de criptomonedas se han vuelto cada vez más prominentes desde
2023 y muchos ahora se anuncian en mercados clandestinos y canales de
Telegram. Mandiant identificó a Chick Drainer y Rainbow Drainer como dos
ofertas de DaaS que utilizan CLINKSINK. Sin embargo, también se sospecha que
el código fuente de CLINKSINK puede haberse filtrado y estar siendo utilizado
por muchos otros actores de amenazas.
Otras dos ofertas de DaaS que se comercializan amplia y abiertamente son
Angel Drainer y Multi-chain Drainer de Rugging.
Angel Drainer es un DaaS que surgió alrededor de agosto de 2023 y
ofrece herramientas y servicios que fueron anunciados simultáneamente en
Telegram por actores de amenazas conocidos como
GhostSec. Además de recibir un descuento del 20%, los operadores también exigen que
los afiliados realicen un depósito inicial de entre U$S 5.000 y U$S 10.000.
Multi-chain Drainer de Rugging es otra oferta que afirma admitir 20
plataformas criptográficas diferentes. Los operadores intentan atraer a los
afiliados ofreciéndoles tarifas bajas, alrededor del 5-10% de las ganancias de
los afiliados.
Prevención de ataques de drenaje
Aunque los drenadores de criptomonedas tienen como objetivo principal robar
activos criptográficos de individuos, las empresas y organizaciones deben
estar alerta ya que sus cuentas de redes sociales pueden convertirse en parte
de la cadena de ataque. Los empleados o unidades de negocio dentro de la
organización que se ocupan de activos de criptomonedas también podrían estar
en riesgo.
Para combatir la amenaza de ataques de los drenadores de criptomonedas, es
importante asegurarse de que 2FA o MFA estén habilitados para todas las
cuentas de redes sociales. Se recomienda a los usuarios de criptomonedas que
tengan el mismo tipo de precaución y estén atentos a los intentos de
ingeniería social con NFT, «airdrops» y otros anuncios criptográficos
que lo harían con los correos electrónicos y otros canales de comunicación.
Los usuarios también deberían considerar la adopción de billeteras basadas en
hardware para mayor seguridad.
Conclusión
De baja habilidad, bajo riesgo, alta recompensa, al igual que
Ransomware-as-a-Service (RaaS) antes,
Drainer-as-a-Service (DaaS) ofrece a aquellos con intenciones
maliciosas una vía fácil hacia el ecosistema de crimeware. Y, al igual que con
las ofertas anteriores de RaaS, no nos sorprenderá ver que la competencia
entre los operadores de DaaS resulte en una carrera hacia el fondo en cuanto a
precios, lo que tentará aún más a realizar actividades maliciosas.
Las credenciales y el acceso a las cuentas de redes sociales deben recibir las
mismas consideraciones de seguridad que otros servicios empresariales, ya que
incluso el acceso temporal a la audiencia de las redes sociales de una empresa
ahora puede usarse para causar daños mucho mayores.
Fuente:
SentinelOne | BC
Los comentarios están cerrados.