Una peligrosa campaña de phishing está en marcha, dirigida a cuentas X de personas influyentes, como periodistas, figuras políticas y empleados de la propia plataforma. El objetivo: secuestrar estas cuentas para utilizarlas en fraudes relacionados con criptomonedas. Investigadores de SentinelLabs han descubierto esta amenaza, señalando que aunque la campaña se ha centrado en X, no está limitada a esta red social.
Los atacantes buscan apoderarse de cuentas de alto perfil, incluidas las de organizaciones tecnológicas y criptográficas, así como cuentas con nombres de usuario cortos y valiosos. Una vez que controlan la cuenta, bloquean al propietario legítimo y comienzan a publicar ofertas de criptomonedas fraudulentas o enlaces a sitios externos diseñados para atraer a más víctimas. Esto les permite ampliar el alcance de sus estafas y maximizar las ganancias.
Este tipo de ataque, que ya fue utilizado por ciberdelincuentes en 2020 contra cuentas de Twitter de celebridades, permite a los atacantes llegar a una audiencia más amplia, amplificando el impacto del fraude. La campaña también se parece a un ataque anterior que comprometió cuentas de alto perfil como la de Linux Tech Tips, lo que sugiere que el mismo grupo de amenazas está detrás de ambas. Sin embargo, la identidad y la localización de los atacantes siguen siendo un misterio.
Entre las técnicas utilizadas por los atacantes, destacan los señuelos de phishing clásicos, como correos electrónicos de alerta de inicio de sesión en los que se indica que alguien ha accedido a la cuenta desde un dispositivo desconocido. Estos correos incluyen un enlace que lleva a una página de phishing que suplanta la página de inicio de sesión de X. También se han usado temas relacionados con derechos de autor para engañar a las víctimas y hacerles ingresar sus credenciales.
Además, los atacantes han utilizado dominios como securelogins-x[.]com y x-recoverysupport[.]com para enviar correos electrónicos y alojar las páginas de phishing. La infraestructura utilizada demuestra que los atacantes son altamente adaptables, cambiando continuamente sus tácticas mientras mantienen un claro objetivo financiero.
La actividad más reciente también se ha asociado con una IP vinculada a un servicio VPS en Belice, lo que agrega más complejidad a la investigación. A pesar de que los dominios utilizados se han registrado en Turquía, esto no es suficiente para afirmar con certeza que los atacantes provienen de allí.
Este tipo de fraude con criptomonedas ha sido común en cuentas de alto perfil, ya que los atacantes pueden aprovechar su alcance para difundir sus estafas. Los investigadores alertan sobre la creciente dificultad para distinguir entre proyectos criptográficos legítimos y estafas, y recomiendan tomar medidas de seguridad esenciales para proteger las cuentas en redes sociales.
Para evitar ser víctima de estos ataques, se aconseja a los usuarios mantener contraseñas únicas, activar la autenticación de dos factores (2FA) y tener precaución con los mensajes que incluyen enlaces a alertas o notificaciones de seguridad. Además, si se requiere un restablecimiento de contraseña, debe hacerse solo a través de la plataforma oficial y nunca mediante enlaces no solicitados.