Se ha observado un novedoso kit de phishing que se hace pasar por las páginas de inicio de sesión de conocidos servicios de criptomonedas como parte de un grupo de ataques diseñado principalmente para dispositivos móviles.
«Este kit permite a los atacantes crear copias carbónicas de páginas de inicio de sesión único (SSO) y luego usar una combinación de correo electrónico, SMS y phishing de voz para engañar al objetivo para que comparta nombres de usuario, contraseñas, URL de restablecimiento de contraseña e incluso identificaciones con fotografía de cientos de víctimas, la mayoría en Estados Unidos», dijo Lookout dicho en un informe.
Los objetivos del kit de phishing incluyen empleados de la Comisión Federal de Comunicaciones (FCC), Binance, Coinbase y usuarios de criptomonedas de varias plataformas como Binance, Coinbase, Gemini, Kraken, ShakePay, Caleb & Brown y Trezor. Hasta la fecha, más de 100 víctimas han sido víctimas de phishing con éxito.
Las páginas de phishing están diseñadas de manera que la pantalla de inicio de sesión falsa se muestra solo después de que la víctima completa una prueba CAPTCHA usando hCaptcha, evitando así que las herramientas de análisis automatizadas marquen los sitios.
En algunos casos, estas páginas se distribuyen a través de llamadas telefónicas y mensajes de texto no solicitados, suplantando al equipo de atención al cliente de una empresa con el pretexto de proteger su cuenta después de un supuesto hackeo.
Una vez que el usuario ingresa sus credenciales, se le pide que proporcione un código de autenticación de dos factores (2FA) o que «espera» mientras afirma verificar la información proporcionada.
«El atacante probablemente intenta iniciar sesión utilizando estas credenciales en tiempo real, luego redirige a la víctima a la página apropiada dependiendo de la información adicional solicitada por el servicio MFA al que el atacante intenta acceder», dijo Lookout.
El kit de phishing también intenta dar una ilusión de credibilidad al permitir que el operador personalice la página de phishing en tiempo real proporcionando los dos últimos dígitos del número de teléfono real de la víctima y seleccionando si se le debe pedir a la víctima un número de seis o siete dígitos. simbólico.
Luego, el actor de la amenaza captura la contraseña de un solo uso (OTP) ingresada por el usuario y la utiliza para iniciar sesión en el servicio en línea deseado utilizando el token proporcionado. En el siguiente paso, se puede dirigir a la víctima a cualquier página que elija el atacante, incluida la página legítima de inicio de sesión de Okta o una página que muestre mensajes personalizados.
Lookout dijo que la campaña comparte similitudes con la de Scattered Spider, específicamente en su suplantación de Okta y el uso de dominios que han sido previamente identificados como afiliados al grupo.
«A pesar de que las URL y las páginas falsificadas se parecen a las que podría crear Scattered Spider, hay capacidades e infraestructura C2 significativamente diferentes dentro del kit de phishing», dijo la compañía. «Este tipo de imitación es común entre los grupos de actores de amenazas, especialmente cuando una serie de tácticas y procedimientos han tenido tanto éxito público».
Actualmente tampoco está claro si esto es obra de un único actor de amenazas o de una herramienta común utilizada por diferentes grupos.
«La combinación de URL de phishing de alta calidad, páginas de inicio de sesión que combinan perfectamente con la apariencia de los sitios legítimos, un sentido de urgencia y una conexión consistente a través de SMS y llamadas de voz es lo que les ha dado a los actores de amenazas tanto éxito al robar datos de alta calidad. «, señaló Lookout.
El desarrollo se produce cuando Fortra reveló que las instituciones financieras en Canadá se han convertido en el objetivo de un nuevo grupo de phishing como servicio (PhaaS) llamado LabHost, que superará en popularidad a su rival Frappo en 2023.
Los ataques de phishing de LabHost se llevan a cabo mediante una herramienta de gestión de campañas en tiempo real llamada LabRat que permite organizar un ataque de adversario en el medio (AiTM) y capturar credenciales y códigos 2FA.
El actor de amenazas también desarrolló una herramienta de spam de SMS denominada LabSend que proporciona un método automatizado para enviar enlaces a páginas de phishing de LabHost, lo que permite a sus clientes montar campañas de smishing a escala.
«Los servicios de LabHost permiten a los actores de amenazas apuntar a una variedad de instituciones financieras con características que van desde plantillas listas para usar, herramientas de gestión de campañas en tiempo real y señuelos de SMS», dijo la compañía. dicho.