Campaña de Phishing Sofisticada
Una nueva campaña de phishing sofisticada está atacando las cuentas de X de personalidades del mundo cripto, utilizando tácticas que eluden la autenticación de dos factores y que parecen más creíbles que las estafas tradicionales. Según una publicación en X del miércoles por el desarrollador cripto Zak Cole, esta nueva campaña aprovecha la propia infraestructura de X para tomar el control de las cuentas de figuras destacadas en el ámbito cripto.
«Cero detección. Activo ahora mismo. Toma de control total de la cuenta», afirmó Cole.
Cole destacó que el ataque no implica una página de inicio de sesión falsa ni el robo de contraseñas. En cambio, se aprovecha del soporte de la aplicación X para obtener acceso a la cuenta, eludiendo también la autenticación de dos factores. El investigador de seguridad de MetaMask, Ohm Shah, confirmó haber visto el ataque «en la naturaleza», sugiriendo que se trata de una campaña más amplia. Además, un modelo de OnlyFans también fue atacado por una versión menos sofisticada de este ataque.
Creando un Mensaje de Phishing Creíble
La característica más notable de esta campaña de phishing es cuán creíble y discreta resulta. El ataque comienza con un mensaje directo en X que contiene un enlace que parece redirigir al dominio oficial de Google Calendar, gracias a cómo la plataforma de redes sociales genera sus vistas previas. En el caso de Cole, el mensaje pretendía provenir de un representante de la firma de capital de riesgo Andreessen Horowitz.
Anuncio
Fuera de línea significa intocable. Con NGRAVE, experimenta pura y fría seguridad para tu Bitcoin, NFTs y tokens. —> Ahorra un 10% con el código COINTELEGRAPH.
El dominio al que el mensaje enlaza es x(.)ca-lendar(.)com, que fue registrado el sábado. Aún así, X muestra el legítimo calendar.google.com en la vista previa, gracias a los metadatos del sitio que explotan cómo X genera vistas previas a partir de ellos. «Tu cerebro ve Google Calendar. La URL es diferente. Cuando se hace clic, el JavaScript de la página redirige a un punto de autenticación de X, solicitando autorización para que una aplicación acceda a tu cuenta de redes sociales. La aplicación parece ser «Calendar», pero un examen técnico del texto revela que el nombre de la aplicación contiene dos caracteres cirílicos que parecen una «a» y una «e», lo que la convierte en una aplicación distinta en comparación con la verdadera aplicación «Calendar» en el sistema de X.
La Pista que Revela el Ataque
Hasta ahora, la señal más obvia de que el enlace no era legítimo puede haber sido la URL que apareció brevemente antes de que el usuario fuera redirigido. Esto probablemente apareció solo por una fracción de segundo y es fácil de pasar por alto. Sin embargo, en la página de autenticación de X, encontramos la primera pista de que se trata de un ataque de phishing. La aplicación solicita una larga lista de permisos de control de cuenta, que incluyen seguir y dejar de seguir cuentas, actualizar perfiles y configuraciones de cuenta, crear y eliminar publicaciones, interactuar con publicaciones de otros, y más. Estos permisos parecen innecesarios para una aplicación de calendario y pueden ser la pista que salve a un usuario cuidadoso del ataque.
Si se concede el permiso, los atacantes obtienen acceso a la cuenta, mientras que los usuarios reciben otra pista con una redirección a calendly.com, a pesar de la vista previa de Google Calendar.
«¿Calendly? ¿Suplantaron Google Calendar, pero redirigen a Calendly? Gran fallo de seguridad operativa. Esta inconsistencia podría alertar a las víctimas», destacó Cole.
Según el informe de Cole en GitHub sobre el ataque, para verificar si tu perfil fue comprometido y expulsar a los atacantes de la cuenta, se recomienda visitar la página de aplicaciones conectadas de X. Luego sugiere revocar cualquier aplicación llamada «Calendar».
