Un recente attacco phishing su Discord ha coinvolto l’uso improprio dell’account Twitter ufficiale di Bloomberg Crypto. Gli aggressori hanno indirizzato gli utenti verso un sito web ingannevole che rubava le credenziali di accesso a Discord.
L’attacco è stato inizialmente rilevato dall’investigatore di frodi cripto ZachXBT. Il profilo Twitter di Bloomberg Crypto conteneva un link a un canale Telegram con 14.000 membri, che a sua volta indirizzava i visitatori verso un falso server Discord di Bloomberg con 33.968 membri.
Secondo ZachXBT, Bloomberg aveva precedentemente gestito un canale Telegram più vecchio con il nome utente @BloombergNewsCrypto, dettaglio condiviso su Twitter nell’agosto 2023. Nel mese di ottobre, Bloomberg ha aggiornato il nome utente di Telegram in @BloombergCrypto. Tuttavia, un truffatore ha approfittato del vecchio nome utente di Telegram durante questa transizione. Sfruttando il fatto che il precedente link di Telegram di Bloomberg era ancora attivo, il truffatore lo ha utilizzato come parte di uno schema di phishing.
Da Telegram, la truffa prosegue su Discord
Il messaggio sul canale Telegram invitava a visitare “l’unico server Discord ufficiale di Bloomberg” per informazioni su come iniziare una candidatura. Tuttavia, una volta entrati nel server Discord, un bot invitava i visitatori a utilizzare AltDentifier, un bot di verifica legittimo di Discord. Invece di collegarsi all’indirizzo legittimo https://altdentifier.com/, presentava un link a una pagina ingannevole con un dominio alterato (altdentifiers[.]com), con un ‘s’ in più rispetto al nome del dominio originale.
Dopo aver cliccato sul link per ‘verificare’ il proprio account, le potenziali vittime venivano indirizzate dal sito phishing di AltDentifiers a verificare con Discord, con l’obiettivo di rubare le loro credenziali di login a Discord.
Il link malevolo utilizzato per il phishing è stato rimosso dall’account Twitter di Bloomberg Crypto X 30 minuti dopo il tweet iniziale di ZachXBT e, poiché molte comunità cripto risiedono su Discord, gli attori delle minacce tentano comunemente di rubare le credenziali per account che frequentano tali server. Questi account dirottati possono poi essere utilizzati per promuovere truffe cripto, apparentemente provenienti da una fonte legittima.