Nuova Campagna di Phishing nel Settore Crypto
Una nuova e sofisticata campagna di phishing sta prendendo di mira gli account X delle personalità del settore crypto, utilizzando tattiche che eludono l’autenticazione a due fattori e appaiono più credibili rispetto alle truffe tradizionali. Secondo un post su X di mercoledì dello sviluppatore crypto Zak Cole, questa campagna sfrutta l’infrastruttura di X per prendere il controllo degli account delle personalità crypto.
“Zero rilevamento. Attivo in questo momento. Presa di controllo totale dell’account,” ha dichiarato Cole.
Ha evidenziato che l’attacco non coinvolge una pagina di accesso falsa o il furto di password; invece, sfrutta il supporto dell’applicazione X per ottenere accesso all’account, eludendo anche l’autenticazione a due fattori. Il ricercatore di sicurezza di MetaMask, Ohm Shah, ha confermato di aver visto l’attacco “in azione”, suggerendo che si tratta di una campagna più ampia. Anche un modello di OnlyFans è stato preso di mira da una versione meno sofisticata dell’attacco.
Creare un Messaggio di Phishing Credibile
La caratteristica più notevole di questa campagna di phishing è la sua credibilità e discrezione. L’attacco inizia con un messaggio diretto su X contenente un link che sembra reindirizzare al dominio ufficiale di Google Calendar, grazie a come la piattaforma di social media genera le sue anteprime. Nel caso di Cole, il messaggio sembrava provenire da un rappresentante della società di venture capital Andreessen Horowitz.
Il dominio a cui il messaggio si collega è x(.)ca-lendar(.)com ed è stato registrato sabato. Tuttavia, X mostra il legittimo calendar.google.com nell’anteprima, grazie ai metadati del sito che sfruttano il modo in cui X genera anteprime. “Il tuo cervello vede Google Calendar. L’URL è diverso. Quando viene cliccato, il JavaScript della pagina reindirizza a un endpoint di autenticazione X che richiede autorizzazione per un’app per accedere al tuo account di social media. L’app sembra essere ‘Calendar’, ma un esame tecnico del testo rivela che il nome dell’applicazione contiene due caratteri cirillici che sembrano una ‘a’ e una ‘e’, rendendola un’app distinta rispetto all’effettiva app ‘Calendar’ nel sistema di X.
L’Indizio che Rivela l’Attacco
Finora, il segno più ovvio che il link non fosse legittimo potrebbe essere stato l’URL che è apparso brevemente prima che l’utente venisse reindirizzato. Questo è probabilmente apparso solo per una frazione di secondo ed è facile da perdere. Tuttavia, sulla pagina di autenticazione X, troviamo il primo indizio che si tratta di un attacco di phishing. L’app richiede un lungo elenco di permessi di controllo dell’account, tra cui seguire e smettere di seguire account, aggiornare profili e impostazioni dell’account, creare e eliminare post, interagire con post di altri e altro ancora. Quei permessi sembrano non necessari per un’app di calendario e potrebbero essere l’indizio che salva un utente attento dall’attacco.
Se viene concessa l’autorizzazione, gli attaccanti ottengono accesso all’account, mentre gli utenti ricevono un ulteriore indizio con un reindirizzamento a calendly.com, nonostante l’anteprima di Google Calendar. “Calendly? Hanno imitato Google Calendar, ma reindirizzano a Calendly? Grande fallimento della sicurezza operativa. Questa incoerenza potrebbe mettere in guardia le vittime,” ha evidenziato Cole.
Secondo il rapporto di Cole su GitHub riguardo all’attacco, per controllare se il tuo profilo è stato compromesso ed estromettere gli attaccanti dall’account, si raccomanda di visitare la pagina delle app collegate a X. Successivamente, suggerisce di revocare qualsiasi app chiamata “Calendar.”
