L’empresa nord-americana de ciberseguretat i filial de Google Cloud, Mandiant, va tenir el seu compte X (anteriorment Twitter) compromès durant més de sis hores per un atacant desconegut per propagar una estafa de criptomoneda.

En el moment d’escriure aquest article, el compte s’ha restaurat a la plataforma de xarxa social.

Encara no se sap com es va violar el compte. Però el compte de Mandiant piratejat va ser rebatejat inicialment com a “@phantomsolw” per suplantar la identitat del servei de cartera criptogràfica Phantom, segons MalwareHunterTeam i vx-underground.

Concretament, les publicacions d’estafa del compte van anunciar una estafa d’airdrop que va instar els usuaris a fer clic en un enllaç fals i a guanyar fitxes gratuïtes, amb missatges de seguiment que demanaven a Mandiant que “canviés la contrasenya, si us plau” i “comproveu les adreces d’interès quan recupereu el compte.”

Mandiant, una empresa líder d’intel·ligència sobre amenaces, va ser adquirida per Google el març de 2022 per 5.400 milions de dòlars. Ara forma part de Google Cloud.

“La presa de control del compte de Twitter de Mandiant podria haver-se produït de diverses maneres”, va dir a X Rachel Tobac, directora general de SocialProof Security.

“Algunes persones estan donant el consell d’activar l’MFA (autenticació de múltiples factors) per prevenir l’ATO (autorització per operar) i, per descomptat, sempre és una bona idea però també és possible que algú del suport de Twitter hagi estat subornat o compromès, cosa que va permetre a l’atacant accedir al compte de Mandiant“.

Quan The Hacker News va contactar un portaveu de Mandiant per demanar-li el seu parer, va dir que era conscient de l’incident que va afectar el compte X i que han recuperat el control del compte.

El desenvolupament arriba quan CloudSEK va revelar que els ciberdelinqüents forcen i segresten els comptes Gold verificats a X i els venen a la web fosca fins a 2.000 dòlars per compte. A més, s’ha observat que els actors de les amenaces s’adrecen a comptes latents associats a organitzacions legítimes per actualitzar-los al nivell Gold.

Aleshores, els comptes compromesos s’utilitzen per publicar enllaços a dominis maliciosos, instar els seus seguidors a unir-se a canals aleatoris basats en criptomoneda i propagar correu brossa.

“El programari maliciós de robatori d’informació té una xarxa de zombis centralitzada, on es recullen les credencials dels dispositius infectats”, va dir la investigadora de seguretat Rishika Desai. “Aquestes credencials es validen després segons els requisits dels compradors, com ara comptes individuals o corporatius, nombre de seguidors, comptes específics de la regió, etc.”.

(La notícia s’ha actualitzat després de la seva publicació per incloure-hi una resposta de Mandiant.)

Actualització

En una declaració de seguiment publicada al seu compte X, ara restaurat, Mandiant va dir que el compte tenia les proteccions d’autenticació de dos factors (2FA) activades i que està investigant l’incident de seguretat.

“Actualment, no hi ha indicis d’activitat maliciosa més enllà del compte X afectat, que torna a estar sota el nostre control”, va afegir.

Els comptes de CertiK, NETGEAR i Hyundai MEA compromesos

Després de l’incident contra Mandiant, els darrers dies s’han violat els comptes X d’altres empreses com CertiK, NETGEAR i Hyundai MEA per infectar víctimes potencials amb programari maliciós d’eliminació de carteres de criptomoneda.