Truffe di criptovalute su X, nel mirino account di alto profilo: come proteggersi

Su X campagna phishing per truffe di criptovalute

Dall’analisi di SentinelLabs emerge che questa attività si collega a un’operazione affine, datata un anno fa, responsabile della compromissione di molteplici account attivi nella diffusione di falsi contenuti. L’obiettivo è quello di perseguire gli stessi obiettivi finanziari.

Sebbene l’attività si focalizzi sugli account X, gli hacker non si limitano a sfruttare una sola piattaforma social.

Gli obiettivi di alto profili nel mirino della campagna sono giornalisti internazionali, un dipendente di X, grandi organizzazioni tecnologiche, organizzazioni di criptovalute e proprietari di nomi utente brevi e di valore.

Non solo account takeover: le altre tecniche

Grazie alla collaborazione con i partner del settore, SentinelLabs ha potuto osservare, nel corso delle ultime settimane, una serie di esche di phishing legate a questa campagna.

Un esempio è il classico avviso di accesso all’account. I link contenuti nella mail ricevuta dall’obiettivo non sono legittimi e conducono a siti di phishing di credenziali. Altre esche osservate utilizzano temi di violazione del copyright. Tuttavia, l’azienda di sicurezza ha notato che il phishing diretto degli utenti potrebbe non essere l’unico metodo di accesso utilizzato da questo aggressore.

Una volta conquistato un account, attraverso l’account takeover, l’aggressore blocca rapidamente il legittimo proprietario e inizia a pubblicare opportunità di criptovaluta fraudolente o link a siti esterni progettati per attirare altri bersagli, spesso con un tema legato al furto di criptovalute.

In definitiva, la compromissione di account di alto profilo consente all’aggressore di raggiungere un pubblico più ampio di potenziali vittime secondarie, massimizzando i propri guadagni finanziari.

“L’uso di tecniche avanzate, come il reindirizzamento tramite Google AMP e l’impiego di tecniche di social engineering per confezionare pagine di phishing convincenti, rende questi attacchi particolarmente insidiosi”, mette in guardia Paganini.

I dettagli della campagna di phishing su X per truffe di criptovalute

Nelle attività recenti associate a questa campagna, il dominio securelogins-x[.]com è stato utilizzato per recapitare mail e x-recoverysupport[.]com per ospitare pagine di phishing.

Ciò dimostra il livello di informalità e flessibilità nell’uso dell’infrastruttura per effettuare campagne phishing.

È possibile notare una raccolta complessiva di attività recenti ospitate su 84.38.130[.]20, un IP associato a un servizio VPS con sede in Belize chiamato Dataclub. I domini stessi sono stati prevalentemente registrati tramite il provider di hosting turco Turkticaret.

L’ispezione della cronologia DNS di 84.38.130[.]20 porta a una serie di domini interessanti e correlati.

Il gruppo ha iniziato l’attività a metà del 2024 e continua ancora oggi. Sebbene si tratti di un solo IP di hosting di pagine di phishing, offre una buona analisi della durata di questa attività e della sua capacità di eludere l’attenzione per oltre un anno.

Inoltre, l’aggressore è altamente adattabile e che esplora continuamente nuove tecniche, pur mantenendo un chiaro movente finanziario. L’obiettivo sembra essere limitato, ma opportunistico. In particolare, i rapporti pubblici precedenti hanno attribuito l’attività ad attori di lingua turca sulla base della lingua dei commenti della pagina di phishing. Al momento, non attribuiamo questa campagna a un Paese specifico o a un attore di minacce ampiamente monitorato.

Alcuni dei siti e dei contenuti dannosi ospitati su 84.38.130[.]20 sono stati creati utilizzando il servizio Fastpanel Direct, sito per costruire e gestire velocemente siti.

“La compromissione di account noti permette ai criminali di estendere l’azione malevola ad un vasto pubblico, massimizzando i guadagni illeciti“, mette in guardia Paganini: “L’utilizzo di infrastrutture flessibili, come Fastpanel, evidenzia la capacità degli attaccanti di adattarsi rapidamente”.

Il caso di Tor Project

Anche se non abbiamo ancora stabilito un collegamento, la recente compromissione di un account del Progetto Tor deve metterci in allerta. Il 30 gennaio scorso è avvenuta la violazione dell’account X ufficiale del Progetto Tor. È possibile che il responsabile sia lo stesso attore, ma al momento l’azienda non ha prove sufficienti per confermare la connessione.

Come proteggersi

Per difendersi è necessario rafforzare la consapevolezza e la formazione continua, anche attraverso simulazioni di account takeover.

Per proteggere il proprio account X, il consiglio numero uno è quello di utilizzare una password solida e unica, attivando l’autenticazione a due fattori (2FA) e di evitare la condivisione delle credenziali con servizi di terze parti.

“È infatti fondamentale rafforzare la sicurezza degli account con password robuste e autenticazione a due fattori”, conclude Paganini. Anche l’utlizzo di password manager affidabili è altamente consigliato.

Occorre prestare attenzione ai messaggi che contengono link ad avvisi sull’account o ad avvisi di sicurezza. Inoltre è necessario verificate sempre gli Url prima di cliccarvi sopra e, se serve bisogna reimpostare la password, direttamente tramite il sito web o l’app ufficiale. E occorre diffidare sempre di link non richiesti.