Der Angriff auf das X-Konto von Mandiant (ehemals Twitter) letzte Woche war wahrscheinlich das Ergebnis eines „brute-force Passwortangriffs“. Der Hack wird einer „Drainer-as-a-Service“ (DaaS) Gruppe zugeschrieben. Ursprünglich hätte die Zwei-Faktor-Authentifizierung dies verhindern sollen, aber aufgrund von Teamwechseln und einer Änderung der 2FA-Richtlinie war der Account nicht ausreichend geschützt. Der Angriff fand am 3. Januar 2023 statt und ermöglichte es dem Angreifer, die Kontrolle über das X-Konto des Unternehmens zu übernehmen und Links zu einer Phishing-Seite zu verteilen, auf der ein Kryptowährungsdiebstahl namens CLINKSINK verfolgt wird. Drainer sind bösartige Skripte und Smart Contracts, die den Diebstahl von digitalen Assets aus den Wallets der Opfer ermöglichen, nachdem sie dazu gebracht wurden, die Transaktionen zu genehmigen.
Laut dem Google-eigenen Tochterunternehmen sollen seit Dezember 2023 mehrere Angreifer CLINKSINK genutzt haben, um Gelder und Token von Solana (SOL) Kryptowährungsbenutzern abzuzweigen. Wie bei anderen Drainers wie Angel Drainer und Inferno Drainer werden Partner von den DaaS-Betreibern eingesetzt, um die Angriffe gegen eine Provision (in der Regel 20% der gestohlenen Assets) durchzuführen. Die identifizierte Aktivitätsgruppe umfasst mindestens 35 Partner-IDs und 42 eindeutige Solana Wallet-Adressen, was den Akteuren Gewinne von mindestens 900.000 US-Dollar einbrachte. Die Angriffsketten nutzen soziale Medien und Chat-Anwendungen wie X und Discord, um Kryptowährungs-basierte Phishing-Seiten zu verbreiten, die die Opfer dazu ermutigen, ihre Wallets anzuschließen, um angeblich kostenlose Tokens zu erhalten. Nachdem die Wallet verbunden ist, wird das Opfer aufgefordert, eine Transaktion zum Drainer-Service zu signieren, was es diesem ermöglicht, Gelder vom Opfer abzuführen. Der JavaScript-Drainer CLINKSINK ist darauf ausgelegt, einen Zugang zu den angegriffenen Wallets zu eröffnen, den aktuellen Kontostand auf dem Wallet zu überprüfen und letztendlich den Diebstahl durchzuführen, nachdem das Opfer eine betrügerische Transaktion unterzeichnet hat. Der Diebstahlversuch scheitert, wenn das Opfer die Transaktion ablehnt. Der Drainer hat auch mehrere Varianten hervorgebracht, darunter Chick Drainer (oder Rainbow Drainer), was darauf hindeutet, dass der Quellcode für mehrere Angreifer verfügbar ist und ihnen unabhängige Angriffskampagnen ermöglicht. Aufgrund der weiten Verfügbarkeit und des geringen Preises vieler Drainer, in Verbindung mit einem relativ hohen Gewinnpotenzial, sind sie wahrscheinlich für viele finanziell motivierte Akteure attraktive Operationen, so Mandiant.
Dies geschieht vor dem Hintergrund einer Zunahme von Angriffen auf legitime X-Konten zur Verbreitung von Kryptowährungsbetrug. Erst letzte Woche wurde das X-Konto der US-amerikanischen Securities and Exchange Commission (SEC) gehackt, um fälschlicherweise zu behaupten, dass die Regulierungsbehörde das „Listing und den Handel mit Bitcoin-Exchange-Traded-Produkten“ genehmigt habe, was kurzfristig zu einem Anstieg der Bitcoin-Preise führte. X hat inzwischen enthüllt, dass der Hack auf „eine nicht identifizierte Person zurückzuführen ist, die die Kontrolle über eine Telefonnummer über einen Drittanbieter erlangt hat“ und dass das Konto keine Zwei-Faktor-Authentifizierung aktiviert hatte.