Ang mga cybercriminal na gumagamit ng tampok na X Ad ay naglunsad ng sopistikadong scam sa cryptocurrency.

Natuklasan ng mga analyst ng cybersecurity ang isang mapanganib na bagong scam na gumagamit ng sistema ng pagpapakita ng advertising URL ng X (dating Twitter) upang linlangin ang mga gumagamit na mahulog sa mga pekeng promosyon ng cryptocurrency.

Isiniwalat ng mga mananaliksik ng banta sa Silent Push na inabuso ng mga attacker ang functionality ng preview ng ad URL ng X upang ipakita ang mga mapagkakatiwalaang domain – tulad ng CNN.com – kahit na ang aktwal na link ay nagdadala sa mga biktima sa mga scam website na nagpapanggap bilang Apple at nagpo-promote ng pekeng "Apple iToken" crypto presale.

Ang scheme na ito ay umaabuso sa paraan ng paglikha ng mga link preview card ng X. Kapag ang isang URL ay nai-post sa isang ad, kinukuha ng bot ng X ang metadata gamit ang isang static na User Agent string. Pina-configure ng mga attacker ang kanilang mga web server upang kilalanin ang user agent at i-redirect ang bot sa isang lehitimong site (tulad ng cnn[.]com), na lumilikha ng malinis na preview. Ngunit kapag nag-click ang mga regular na gumagamit, tahimik silang na-redirect sa mga scam domain tulad ng ipresale[.]world.

Sa ilang mga kaso, gumagamit ang mga attacker ng link shorteners tulad ng bit[.]ly, na sa simula ay nagpo-point sa isang mapagkakatiwalaang site para sa pagbuo ng preview, ngunit lumilipat sa mga nakakahamak na pahina kapag buhay na ang ad.

Karaniwang dumadaan ang mga phishing links sa ilang redirect (kabilang ang t[.]co) bago makarating sa mga propesyonal na dinisenyong scam site. Ipinapakita sa mga biktima ang mga pekeng endorsement mula sa CEO ng Apple na si Tim Cook at hinihimok silang magdeposito ng pondo sa isa sa 22 crypto wallets sa mga Bitcoin, Ethereum, at Solana networks.

Nalamang natuklasan ang halos 90 kaugnay na domain na aktibo mula noong 2024. Gumamit ang mga attacker ng pare-parehong imprastruktura – mga shared files, icons, IP addresses (hal., 51.15.17[.]214), at mga name server (ns1.chsw.host) – upang patakbuhin ang scam network.

Ang pangalawang alon ng kampanya ay inilunsad sa pamamagitan ng mga bagong ad ng X noong Mayo 5, 2025, na nagre-redirect sa mga gumagamit sa pamamagitan ng chopinkos[.]digital patungo sa itokensale[.]live, na nagtatampok ng halos magkakaparehong scam content at pag-abuso sa branding ng Apple.

Ang ilang kaugnay na domain ay nakatali pa sa mga nakaka-suspeting rehiyon ng .ru, bagaman ang tiyak na pag-aakibat sa isang partikular na grupo ay nananatiling hindi nakumpirma.

Itinatampok ng insidenteng ito ang sopistikasyon ng modernong pandaraya sa ad ng social media at ang mga panganib ng mga plataporma na umaasa sa client-side redirection na walang matibay na pagpapatunay ng URL. Inirerekomenda ng Silent Push ang agarang pagpapabuti sa mga sistema ng pagsusuri ng ad at metadata ng X at higit pang pagbabantay mula sa mga gumagamit.

Habang lumalaki ang mga scam sa ad na nagiging mas mapanlinlang, ang mga gumagamit ay hindi lamang dapat mag-isip nang dalawang beses bago mag-click kundi regular ding linisin ang mga lumang nilalaman. Ang mga tool tulad ng TweetDeleter ay nagbibigay-daan sa iyo upang tanggalin ang mga lumang tweet at pamahalaan ang iyong kasaysayan sa social media – isang mahalagang hakbang upang manatiling ligtas online.

Pinagmulan: gbhackers.com