Cibercriminosos Exploraram Recurso do X para Lançar Sofisticado Golpe de Criptomoedas

Analistas de cibersegurança descobriram um perigoso novo golpe que explora o sistema de exibição de URLs de anúncios do X (antigo Twitter) para enganar os usuários e fazê-los cair em promoções falsas de criptomoeda.

Pesquisadores de ameaças da Silent Push revelaram que os atacantes manipularam a funcionalidade de pré-visualização de URLs de anúncios do X para exibir domínios confiáveis – como CNN.com – embora o link real levasse as vítimas a sites de golpe que se passavam pela Apple e promoviam uma falsa pré-venda de criptomoeda "Apple iToken".

Este esquema abusa de como o X gera seus cartões de pré-visualização de links. Quando uma URL é postada em um anúncio, o bot do X busca os metadados usando uma string de User Agent estática. Os atacantes configuram seus servidores web para reconhecer esse user agent e redirecionar o bot para um site legítimo (como cnn[.]com), criando uma pré-visualização limpa. Mas quando usuários regulares clicam, eles são redirecionados silenciosamente para domínios de golpe como ipresale[.]world.

Em alguns casos, os atacantes usam encurtadores de link, como bit[.]ly, que inicialmente apontam para um site respeitável para a geração de pré-visualizações, apenas para mudar para páginas maliciosas assim que o anúncio está ativo.

Esses links de phishing frequentemente passam por vários redirecionamentos (incluindo t[.]co) antes de aterrissar em sites de golpe profissionalmente projetados. As vítimas são mostradas falsos endossos do CEO da Apple, Tim Cook, e incentivadas a depositar fundos em uma das 22 carteiras de criptomoeda nas redes Bitcoin, Ethereum e Solana.

Uma investigação adicional descobriu quase 90 domínios relacionados ativos desde 2024. Os atacantes usaram uma infraestrutura consistente – arquivos compartilhados, ícones, endereços IP (por exemplo, 51.15.17[.]214) e servidores de nomes (ns1.chsw.host) – para operar a rede de golpes.

A segunda onda da campanha foi lançada por meio de novos anúncios do X em 5 de maio de 2025, redirecionando usuários através de chopinkos[.]digital para itokensale[.]live, apresentando conteúdo de golpe praticamente idêntico e abuso da marca Apple.

Alguns domínios associados até se ligaram a regiões suspeitas .ru, embora a atribuição definitiva a um grupo específico permaneça não confirmada.

Este incidente destaca a sofisticação da fraude publicitária moderna nas redes sociais e os riscos de plataformas que dependem de redirecionamento do lado do cliente sem uma verificação robusta de URLs. A Silent Push recomenda melhorias urgentes nos sistemas de revisão de anúncios e metadados do X e maior vigilância dos usuários.

À medida que os golpes publicitários se tornam mais enganosos, os usuários não devem apenas pensar duas vezes antes de clicar, mas também limpar regularmente o conteúdo passado. Ferramentas como TweetDeleter permitem que você exclua tweets antigos e gerencie seu histórico nas redes sociais – um passo essencial para se manter seguro online.

Fonte: gbhackers.com