CryptoChameleon adlı bir kimlik avı kitinin, Binance ve Coinbase çalışanlarının yanı sıra Federal İletişim Komisyonu (FCC) dahil olmak üzere kripto para platformlarını hedef aldığı keşfedildi.
Lookout’un yaptığı bir analize göre kurbanlar öncelikle Okta, Outlook ve Google dahil olmak üzere tek oturum açma (SSO) çözümlerine sahip Apple iOS ve Google Android cihazlarını kullanıyor.
Endişe verici bir şekilde, başarılı saldırılar, yalnızca kullanıcı adları ve şifrelerin ötesinde, şifre sıfırlama URL’leri ve fotoğraflı kimlikler gibi hassas verileri de ortaya çıkararak saldırıları daha zarar verici hale getirdi.
Sectigo’nun üründen sorumlu kıdemli başkan yardımcısı Jason Soroko, “Kripto para platformları, tek oturum açma hizmetleri, devlet kurumları ve B2C’ye yönelik diğer kuruluşlar, WebAuthn tabanlı geçiş anahtarları gibi daha güçlü kimlik doğrulama biçimlerine bakmalı” diyor.
Gelişmiş CryptoChameleon’un Kimlik Avı Taktikleri İkna Edici
CryptoChameleon’un arkasında gelişmiş siber saldırganlar var özellikle kişisel yardım gibi gelişmiş taktikler sergiliyorlar. Sosyal mühendislik, saygın şirketlerin yasal destek personelinin kimliğine bürünen kişiselleştirilmiş kısa mesajları ve sesli aramaları içerir.
Ayrıca Lookout’a göre yasal sayfaları ikna edici bir şekilde kopyalayarak tanınmalarını zorlaştırıyorlar. Özellikle, gerçek şirket destek ekiplerini taklit eden telefon numaralarının ve web sitelerinin kullanılması, kimlik avı girişimlerine başka bir özgünlük katmanı ekleyerek kurbanları daha da yanıltıyor.
Bu arada CryptoChameleon kiti, otomatik analiz araçlarından kaçınmak için hCaptcha’yı da kullanıyor.
Genel olarak CryptoChameleon’un MO’su, CryptoChameleon tarafından kullanılan tekniklere benzer. Dağınık Örümcek finansal siber tehdit grubuözellikle Okta kullanıcılarını hedefleme Yardım masası personeli gibi davranarak sesli aramalar gerçekleştiren Lookout, saldırıların farklı bir tehdit aktörünü düşündürecek kadar değişkenlikle gerçekleştirildiğini kaydetti.
Aslında araştırmacılar, kimlik avı kitinin Dark Web forumlarında bir hizmet olarak sunulabileceğinden şüpheleniyorlar.
Lookout’un araştırmacılarına göre “Bunun tek bir tehdit aktörü mü yoksa birçok farklı grup tarafından kullanılan ortak bir araç mı olduğu bilinmiyor.” “Ancak C2’nin arka ucunda pek çok benzerlik var [command-and-control] Ekibimizin çeşitli kimlik avı sitelerinde bulduğu sunucular ve test verileri.”
Teknik Destekten Gelen Sahte Telefon Görüşmelerine Kanmayın
Soroko, kısa mesajlardan ve telefon görüşmelerinden sosyal mühendislik söz konusu olduğunda kuruluşların çalışanlarını eğitmesi ve isteklerin kaynağını doğrulamak için bir politika oluşturması gerektiğini söylüyor.
“Çok etkili olan derin sahte sesli telefon görüşmeleri gördük, bu da bir zamanlar tamamen güvenilen normal iletişim araçlarının daha yüksek düzeyde inceleme gerektirdiği anlamına geliyor” diye belirtiyor. “Kimin mesaj attığını ve aradığını doğrulamanız gerekiyor ve ilerlemek için bunu kolaylaştıracak daha iyi yollara ihtiyacımız var.”
Keeper Security’nin güvenlik ve mimariden sorumlu başkan yardımcısı Patrick Tiquet, istenmeyen mesajlarla ilişkili riskleri ve hedef web sitesinin URL’sinin orijinal web sitesiyle eşleştiğinden emin olmak için ek doğrulamanın önemini vurgulayarak kuruluşların kullanıcı eğitimine öncelik vermesi gerektiğini kabul ediyor.
“Bir şifre yöneticisi kullanıldığında, bir sitenin URL’sinin kullanıcının kasasında bulunanla eşleşmediğini otomatik olarak tanımlar ve bu da kritik bir ekstra güvenlik katmanı sağlar” diye açıklıyor.
Tiquet, çok faktörlü kimlik doğrulamanın (MFA) kimlik avı saldırılarına karşı koruma sağlayan kritik bir ikinci koruma katmanı da sağlayabileceğini söylüyor ancak siber suçluların bunun için çalıştıkları konusunda da uyarıyor MFA korumalarından kaçınmak ve yüksek değerli hesaplara erişim sağlamak ve kimlik bilgilerini çalmak için gelişmiş taktikler geliştiriyorlar.