Se ha observado un novedoso kit de phishing que se hace pasar por las p\u00e1ginas de inicio de sesi\u00f3n de conocidos servicios de criptomonedas como parte de un grupo de ataques dise\u00f1ado principalmente para dispositivos m\u00f3viles.<\/p>\n
“Este kit permite a los atacantes crear copias carb\u00f3nicas de p\u00e1ginas de inicio de sesi\u00f3n \u00fanico (SSO) y luego usar una combinaci\u00f3n de correo electr\u00f3nico, SMS y phishing de voz para enga\u00f1ar al objetivo para que comparta nombres de usuario, contrase\u00f1as, URL de restablecimiento de contrase\u00f1a e incluso identificaciones con fotograf\u00eda de cientos de v\u00edctimas, la mayor\u00eda en Estados Unidos”, dijo Lookout dicho<\/a> en un informe.<\/p>\n Los objetivos del kit de phishing incluyen empleados de la Comisi\u00f3n Federal de Comunicaciones (FCC), Binance, Coinbase y usuarios de criptomonedas de varias plataformas como Binance, Coinbase, Gemini, Kraken, ShakePay, Caleb & Brown y Trezor. Hasta la fecha, m\u00e1s de 100 v\u00edctimas han sido v\u00edctimas de phishing con \u00e9xito.<\/p>\n Las p\u00e1ginas de phishing est\u00e1n dise\u00f1adas de manera que la pantalla de inicio de sesi\u00f3n falsa se muestra solo despu\u00e9s de que la v\u00edctima completa una prueba CAPTCHA usando hCaptcha, evitando as\u00ed que las herramientas de an\u00e1lisis automatizadas marquen los sitios.<\/p>\n En algunos casos, estas p\u00e1ginas se distribuyen a trav\u00e9s de llamadas telef\u00f3nicas y mensajes de texto no solicitados, suplantando al equipo de atenci\u00f3n al cliente de una empresa con el pretexto de proteger su cuenta despu\u00e9s de un supuesto hackeo.<\/p>\n Una vez que el usuario ingresa sus credenciales, se le pide que proporcione un c\u00f3digo de autenticaci\u00f3n de dos factores (2FA) o que “espera” mientras afirma verificar la informaci\u00f3n proporcionada.<\/p>\n “El atacante probablemente intenta iniciar sesi\u00f3n utilizando estas credenciales en tiempo real, luego redirige a la v\u00edctima a la p\u00e1gina apropiada dependiendo de la informaci\u00f3n adicional solicitada por el servicio MFA al que el atacante intenta acceder”, dijo Lookout.<\/p>\n El kit de phishing tambi\u00e9n intenta dar una ilusi\u00f3n de credibilidad al permitir que el operador personalice la p\u00e1gina de phishing en tiempo real proporcionando los dos \u00faltimos d\u00edgitos del n\u00famero de tel\u00e9fono real de la v\u00edctima y seleccionando si se le debe pedir a la v\u00edctima un n\u00famero de seis o siete d\u00edgitos. simb\u00f3lico.<\/p>\n Luego, el actor de la amenaza captura la contrase\u00f1a de un solo uso (OTP) ingresada por el usuario y la utiliza para iniciar sesi\u00f3n en el servicio en l\u00ednea deseado utilizando el token proporcionado. En el siguiente paso, se puede dirigir a la v\u00edctima a cualquier p\u00e1gina que elija el atacante, incluida la p\u00e1gina leg\u00edtima de inicio de sesi\u00f3n de Okta o una p\u00e1gina que muestre mensajes personalizados.<\/p>\n Lookout dijo que la campa\u00f1a comparte similitudes con la de Scattered Spider, espec\u00edficamente en su suplantaci\u00f3n de Okta y el uso de dominios que han sido previamente identificados como afiliados al grupo.<\/p>\n “A pesar de que las URL y las p\u00e1ginas falsificadas se parecen a las que podr\u00eda crear Scattered Spider, hay capacidades e infraestructura C2 significativamente diferentes dentro del kit de phishing”, dijo la compa\u00f1\u00eda. “Este tipo de imitaci\u00f3n es com\u00fan entre los grupos de actores de amenazas, especialmente cuando una serie de t\u00e1cticas y procedimientos han tenido tanto \u00e9xito p\u00fablico”.<\/p>\n Actualmente tampoco est\u00e1 claro si esto es obra de un \u00fanico actor de amenazas o de una herramienta com\u00fan utilizada por diferentes grupos.<\/p>\n “La combinaci\u00f3n de URL de phishing de alta calidad, p\u00e1ginas de inicio de sesi\u00f3n que combinan perfectamente con la apariencia de los sitios leg\u00edtimos, un sentido de urgencia y una conexi\u00f3n consistente a trav\u00e9s de SMS y llamadas de voz es lo que les ha dado a los actores de amenazas tanto \u00e9xito al robar datos de alta calidad. “, se\u00f1al\u00f3 Lookout.<\/p>\n El desarrollo se produce cuando Fortra revel\u00f3 que las instituciones financieras en Canad\u00e1 se han convertido en el objetivo de un nuevo grupo de phishing como servicio (PhaaS) llamado LabHost, que superar\u00e1 en popularidad a su rival Frappo en 2023.<\/p>\n Los ataques de phishing de LabHost se llevan a cabo mediante una herramienta de gesti\u00f3n de campa\u00f1as en tiempo real llamada LabRat que permite organizar un ataque de adversario en el medio (AiTM) y capturar credenciales y c\u00f3digos 2FA.<\/p>\n El actor de amenazas tambi\u00e9n desarroll\u00f3 una herramienta de spam de SMS denominada LabSend que proporciona un m\u00e9todo automatizado para enviar enlaces a p\u00e1ginas de phishing de LabHost, lo que permite a sus clientes montar campa\u00f1as de smishing a escala.<\/p>\n “Los servicios de LabHost permiten a los actores de amenazas apuntar a una variedad de instituciones financieras con caracter\u00edsticas que van desde plantillas listas para usar, herramientas de gesti\u00f3n de campa\u00f1as en tiempo real y se\u00f1uelos de SMS”, dijo la compa\u00f1\u00eda. dicho<\/a>.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/03\/El-nuevo-kit-de-phishing-aprovecha-los-SMS-y-las.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n