Uma nova campanha sofisticada de phishing está mirando as contas no X de personalidades da comunidade cripto, usando táticas que contornam a autenticação em dois fatores e parecem mais convincentes do que golpes tradicionais.

De acordo com uma publicação feita na quarta-feira no X pelo desenvolvedor de cripto Zak Cole, a nova campanha de phishing explora a própria infraestrutura do X para tomar contas de personalidades do setor. “Zero detecção. Ativo neste momento. Tomada completa de contas”, disse ele.

Cole destacou que o ataque não envolve uma página falsa de login ou roubo de senha. Em vez disso, utiliza o suporte a aplicativos do X para obter acesso às contas, ao mesmo tempo em que ignora a autenticação em dois fatores.

O pesquisador de segurança da MetaMask, Ohm Shah, confirmou ter visto o ataque “em campo”, sugerindo uma campanha mais ampla, e até uma modelo do OnlyFans foi alvo de uma versão menos sofisticada do golpe.

Como a mensagem de phishing parece confiável

A característica notável dessa campanha de phishing é o quão discreta e convincente ela é. O ataque começa com uma mensagem direta no X contendo um link que parece redirecionar para o domínio oficial do Google Calendar, graças à forma como a rede social gera suas prévias. No caso de Cole, a mensagem se passava por um representante da empresa de capital de risco Andreessen Horowitz.

O link de phishing está na mensagem. Fonte: Zak Cole

O domínio para o qual a mensagem direciona é “x(.)ca-lendar(.)com” e foi registrado no sábado. Ainda assim, o X exibe o legítimo calendar.google.com na prévia graças aos metadados do site, que exploram a forma como o X gera essas pré-visualizações.

“Seu cérebro vê Google Calendar. A URL é diferente.”
Metadados do site de phishing. Fonte: Zak Cole

Ao clicar, o JavaScript da página redireciona para um endpoint de autenticação do X solicitando autorização para que um aplicativo acesse sua conta na rede social. O app parece ser o “Calendar”, mas uma análise técnica do texto revela que o nome da aplicação contém dois caracteres cirílicos semelhantes a “a” e “e”, tornando-o distinto do app “Calendar” legítimo do sistema do X.

Solicitação de autorização de phishing no X. Fonte: Zak Cole

A pista que revela o ataque

Até agora, o sinal mais óbvio de que o link não era legítimo pode ter sido a URL que apareceu brevemente antes do redirecionamento. Isso provavelmente ocorreu por apenas uma fração de segundo e é fácil de não perceber.

Ainda assim, na página de autenticação do X, surge a primeira pista de que se trata de um ataque de phishing. O app solicita uma longa lista de permissões abrangentes de controle da conta, incluindo seguir e deixar de seguir contas, atualizar perfis e configurações, criar e excluir posts, interagir com publicações de outros e muito mais.

Essas permissões parecem desnecessárias para um aplicativo de calendário e podem ser a pista que salva um usuário atento do ataque. Se a permissão for concedida, os invasores ganham acesso à conta, e os usuários recebem outra pista com o redirecionamento para calendly.com, apesar da prévia mostrar Google Calendar.

“Calendly? Eles falsificaram o Google Calendar, mas redirecionam para o Calendly? Falha grave de segurança operacional. Essa inconsistência poderia alertar as vítimas”, destacou Cole.

De acordo com o relatório de Cole no GitHub sobre o ataque, para verificar se o perfil foi comprometido e remover os invasores da conta, recomenda-se visitar a página de aplicativos conectados no X. Em seguida, ele sugere revogar qualquer aplicativo chamado “Calendar”.