Un nouveau kit de phishing a été observé usurpant l’identité des pages de connexion de services de crypto-monnaie bien connus dans le cadre d’un cluster d’attaque conçu pour cibler principalement les appareils mobiles.
« Ce kit permet aux attaquants de créer des copies carbone des pages d’authentification unique (SSO), puis d’utiliser une combinaison d’e-mails, de SMS et de phishing vocal pour inciter la cible à partager des noms d’utilisateur, des mots de passe, des URL de réinitialisation de mot de passe et même des pièces d’identité avec photo. des centaines de victimes, principalement aux États-Unis », a déclaré Lookout dit dans un rapport.
Les cibles du kit de phishing incluent les employés de la Federal Communications Commission (FCC), Binance, Coinbase et les utilisateurs de crypto-monnaie de diverses plateformes telles que Binance, Coinbase, Gemini, Kraken, ShakePay, Caleb & Brown et Trezor. À ce jour, plus de 100 victimes ont été victimes d’hameçonnage.
Les pages de phishing sont conçues de telle sorte que le faux écran de connexion ne s’affiche qu’une fois que la victime a terminé un test CAPTCHA à l’aide de hCaptcha, empêchant ainsi les outils d’analyse automatisés de signaler les sites.
Dans certains cas, ces pages sont distribuées via des appels téléphoniques et des SMS non sollicités en usurpant l’équipe de support client d’une entreprise sous prétexte de sécuriser leur compte après un prétendu piratage.
Une fois que l’utilisateur a saisi ses informations d’identification, il lui est soit demandé de fournir un code d’authentification à deux facteurs (2FA), soit d’« attendre » pendant qu’il prétend vérifier les informations fournies.
« L’attaquant tente probablement de se connecter en utilisant ces informations d’identification en temps réel, puis redirige la victime vers la page appropriée en fonction des informations supplémentaires demandées par le service MFA auquel l’attaquant tente d’accéder », a déclaré Lookout.
Le kit de phishing tente également de donner une illusion de crédibilité en permettant à l’opérateur de personnaliser la page de phishing en temps réel en fournissant les deux derniers chiffres du numéro de téléphone réel de la victime et en sélectionnant si la victime doit se voir demander un numéro à six ou sept chiffres. jeton.
Le mot de passe à usage unique (OTP) saisi par l’utilisateur est ensuite capturé par l’acteur malveillant, qui l’utilise pour se connecter au service en ligne souhaité à l’aide du jeton fourni. À l’étape suivante, la victime peut être dirigée vers n’importe quelle page du choix de l’attaquant, y compris la page de connexion légitime d’Okta ou une page affichant des messages personnalisés.
Lookout a déclaré que la campagne partage des similitudes avec celle de Scattered Spider, notamment dans son usurpation d’identité d’Okta et l’utilisation de domaines précédemment identifiés comme affiliés au groupe.
« Malgré les URL et les pages usurpées qui ressemblent à ce que Scattered Spider pourrait créer, il existe des capacités et une infrastructure C2 très différentes dans le kit de phishing », a déclaré la société. « Ce type de copie est courant parmi les groupes d’acteurs menaçants, en particulier lorsqu’une série de tactiques et de procédures ont connu un tel succès auprès du public. »
Il n’est actuellement pas clair non plus s’il s’agit de l’œuvre d’un seul acteur menaçant ou d’un outil commun utilisé par différents groupes.
« La combinaison d’URL de phishing de haute qualité, de pages de connexion qui correspondent parfaitement à l’apparence des sites légitimes, d’un sentiment d’urgence et d’une connexion cohérente via SMS et appels vocaux est ce qui a donné aux acteurs de la menace autant de succès dans le vol de données de haute qualité. « , a noté Lookout.
Cette évolution intervient alors que Fortra a révélé que les institutions financières au Canada étaient la cible d’un nouveau groupe de phishing en tant que service (PhaaS) appelé LabHost, dépassant son rival Frappo en termes de popularité en 2023.
Les attaques de phishing de LabHost sont réalisées au moyen d’un outil de gestion de campagne en temps réel nommé LabRat qui permet de lancer une attaque d’adversaire au milieu (AiTM) et de capturer les informations d’identification et les codes 2FA.
L’acteur malveillant a également développé un outil de spam par SMS baptisé LabSend, qui fournit une méthode automatisée d’envoi de liens vers les pages de phishing LabHost, permettant ainsi à ses clients de lancer des campagnes de smishing à grande échelle.
« Les services LabHost permettent aux acteurs malveillants de cibler diverses institutions financières avec des fonctionnalités allant des modèles prêts à l’emploi aux outils de gestion de campagne en temps réel et aux leurres SMS », explique la société. dit.