Un nou kit de phishing numit CryptoChameleon este folosit pentru a viza angajatii Comisiei Federale de Comunicatii (FCC), folosind pagini de autentificare unica (SSO) special create pentru Okta care par foarte similare cu originalele.
Aceeași campanie vizează, de asemenea, utilizatorii și angajații platformelor de criptomonede, cum ar fi Binance, Coinbase, Kraken și Gemini, utilizând pagini de phishing care se fac drept Okta, Gmail, iCloud, Outlook, Twitter, Yahoo și AOL.
Atacatorii coordonează un atac complex de phishing și inginerie socială care constă în e-mailuri, SMS-uri și phishing vocal pentru a păcăli victimele să introducă informații sensibile pe paginile de phishing, cum ar fi numele de utilizator, parolele și, în unele cazuri, chiar pozele de identitate.
Operația de phishing descoperită de cercetătorii de la Lookout seamănă cu campania Oktapus din 2022 realizată de grupul de hacking Scattered Spider, dar nu există suficiente dovezi pentru o atribuire sigură.
Actorii de amenințare pregătesc atacul prin înregistrarea inițială a domeniilor care seamănă strâns cu cele ale entităților legitime. În cazul FCC, aceștia au creat „fcc-okta[.]com”, care diferă doar printr-un singur caracter față de pagina legitimă de autentificare unică Okta a FCC-ului.
Atacatorii pot suna, trimite e-mailuri sau SMS-uri țintei, pretinzând a fi suport pentru clienți, redirecționându-i către site-ul de phishing pentru a-și „recupera” conturile.
Pentru Coinbase, mesajele pretindeau avertismente despre alerte de conectare suspecte, redirecționând utilizatorii către pagini de phishing, așa cum este arătat mai jos.
Victimele care ajung pe site-ul de phishing sunt îndrumate să rezolve un captcha, care conform Lookout servește atât pentru filtrarea botilor, cât și pentru adăugarea de legitimitate procesului de phishing.
Cei care trec de această etapă se confruntă cu o pagină de phishing bine proiectată care apare ca o replică exactă a site-ului autentic de conectare Okta.
Kitul de phishing implementat de către infractori le permite acestora să interacționeze în timp real cu victimele pentru a facilita scenarii precum cererea de autentificare suplimentară în cazul în care sunt necesare coduri de autentificare multi-factor (MFA) pentru a prelua controlul asupra contului țintei.
Panoul central care controlează procesul de phishing permite atacatorilor să personalizeze pagina de phishing pentru a include cifrele de telefon ale victimei, făcând cererile de token-uri SMS să apară legitime.
După ce procesul de phishing este finalizat, victima poate fi redirecționată către pagina reală de conectare a platformei sau către un portal fals care afirmă că contul lor este în curs de revizuire.
Ambele destinații sunt folosite pentru a reduce suspiciunea din partea victimei și pentru a oferi atacatorilor mai mult timp pentru a exploata informațiile furate.
Lookout a obținut informații despre țintele suplimentare din spațiul criptomonede prin analizarea kitului de phishing și găsirea momelelor relevante.
Cercetătorii au obținut, de asemenea, acces pe termen scurt la jurnalele backend ale atacatorului, confirmând că campania a generat compromisuri de mare valoare.
„Site-urile par să fi pescuit cu succes mai mult de 100 de victime, pe baza jurnalelor observate,” explică Lookout.
„Multe dintre site-uri sunt încă active și continuă să pescuiască pentru mai multe acreditări în fiecare oră.”
Actorii de amenințare au folosit în principal Hostwinds și Hostinger pentru a găzdui paginile lor de phishing la sfârșitul anului 2023, dar au trecut ulterior la RetnNet, cu sediul în Rusia, care ar putea oferi un interval operațional mai lung pentru site-urile dubioase.
Lookout nu a putut determina dacă kitul de phishing CryptoChameleon este folosit exclusiv de către un singur actor de amenințare sau închiriat către mai multe grupuri.
Indiferent cine se află în spatele kitului, natura sa avansată, strategia de targetare și metodele de comunicare ale operatorilor săi și calitatea ridicată a materialelor de phishing subliniază impactul pe care acesta îl poate avea asupra organizațiilor vizate.
O listă de indicatori de compromitere, inclusiv servere de comandă și control și site-uri de phishing, poate fi găsită la sfârșitul articolului Lookout.
Un fondator de portofel de criptomonede pierde 125.000 de dolari pe un site fals de distribuire aeriană
SUA acuză un iranian pentru atacuri asupra organizațiilor de apărare, oferă 10 milioane de dolari pentru informații
Banda Savvy Seahorse folosește înregistrările DNS CNAME pentru a alimenta escrocheriile investitorilor
De ce să știți: Principalele concluzii din cele mai recente atacuri de phishing
Serviciul de criminalitate cibernetică LabHost permite oricui să pescuiască utilizatorii băncilor canadiene
Leave a Reply