Un nouveau kit de phishing a \u00e9t\u00e9 observ\u00e9 usurpant l’identit\u00e9 des pages de connexion de services de crypto-monnaie bien connus dans le cadre d’un cluster d’attaque con\u00e7u pour cibler principalement les appareils mobiles.<\/p>\n
\u00ab\u00a0Ce kit permet aux attaquants de cr\u00e9er des copies carbone des pages d’authentification unique (SSO), puis d’utiliser une combinaison d’e-mails, de SMS et de phishing vocal pour inciter la cible \u00e0 partager des noms d’utilisateur, des mots de passe, des URL de r\u00e9initialisation de mot de passe et m\u00eame des pi\u00e8ces d’identit\u00e9 avec photo. des centaines de victimes, principalement aux \u00c9tats-Unis”, a d\u00e9clar\u00e9 Lookout dit<\/a> dans un rapport.<\/p>\n Les cibles du kit de phishing incluent les employ\u00e9s de la Federal Communications Commission (FCC), Binance, Coinbase et les utilisateurs de crypto-monnaie de diverses plateformes telles que Binance, Coinbase, Gemini, Kraken, ShakePay, Caleb & Brown et Trezor. \u00c0 ce jour, plus de 100 victimes ont \u00e9t\u00e9 victimes d\u2019hame\u00e7onnage.<\/p>\n Les pages de phishing sont con\u00e7ues de telle sorte que le faux \u00e9cran de connexion ne s’affiche qu’une fois que la victime a termin\u00e9 un test CAPTCHA \u00e0 l’aide de hCaptcha, emp\u00eachant ainsi les outils d’analyse automatis\u00e9s de signaler les sites.<\/p>\n Dans certains cas, ces pages sont distribu\u00e9es via des appels t\u00e9l\u00e9phoniques et des SMS non sollicit\u00e9s en usurpant l’\u00e9quipe de support client d’une entreprise sous pr\u00e9texte de s\u00e9curiser leur compte apr\u00e8s un pr\u00e9tendu piratage.<\/p>\n Une fois que l’utilisateur a saisi ses informations d’identification, il lui est soit demand\u00e9 de fournir un code d’authentification \u00e0 deux facteurs (2FA), soit d’\u00ab attendre \u00bb pendant qu’il pr\u00e9tend v\u00e9rifier les informations fournies.<\/p>\n “L’attaquant tente probablement de se connecter en utilisant ces informations d’identification en temps r\u00e9el, puis redirige la victime vers la page appropri\u00e9e en fonction des informations suppl\u00e9mentaires demand\u00e9es par le service MFA auquel l’attaquant tente d’acc\u00e9der”, a d\u00e9clar\u00e9 Lookout.<\/p>\n Le kit de phishing tente \u00e9galement de donner une illusion de cr\u00e9dibilit\u00e9 en permettant \u00e0 l’op\u00e9rateur de personnaliser la page de phishing en temps r\u00e9el en fournissant les deux derniers chiffres du num\u00e9ro de t\u00e9l\u00e9phone r\u00e9el de la victime et en s\u00e9lectionnant si la victime doit se voir demander un num\u00e9ro \u00e0 six ou sept chiffres. jeton.<\/p>\n Le mot de passe \u00e0 usage unique (OTP) saisi par l’utilisateur est ensuite captur\u00e9 par l’acteur malveillant, qui l’utilise pour se connecter au service en ligne souhait\u00e9 \u00e0 l’aide du jeton fourni. \u00c0 l’\u00e9tape suivante, la victime peut \u00eatre dirig\u00e9e vers n’importe quelle page du choix de l’attaquant, y compris la page de connexion l\u00e9gitime d’Okta ou une page affichant des messages personnalis\u00e9s.<\/p>\n Lookout a d\u00e9clar\u00e9 que la campagne partage des similitudes avec celle de Scattered Spider, notamment dans son usurpation d’identit\u00e9 d’Okta et l’utilisation de domaines pr\u00e9c\u00e9demment identifi\u00e9s comme affili\u00e9s au groupe.<\/p>\n “Malgr\u00e9 les URL et les pages usurp\u00e9es qui ressemblent \u00e0 ce que Scattered Spider pourrait cr\u00e9er, il existe des capacit\u00e9s et une infrastructure C2 tr\u00e8s diff\u00e9rentes dans le kit de phishing”, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9. “Ce type de copie est courant parmi les groupes d’acteurs mena\u00e7ants, en particulier lorsqu’une s\u00e9rie de tactiques et de proc\u00e9dures ont connu un tel succ\u00e8s aupr\u00e8s du public.”<\/p>\n Il n\u2019est actuellement pas clair non plus s\u2019il s\u2019agit de l\u2019\u0153uvre d\u2019un seul acteur mena\u00e7ant ou d\u2019un outil commun utilis\u00e9 par diff\u00e9rents groupes.<\/p>\n “La combinaison d’URL de phishing de haute qualit\u00e9, de pages de connexion qui correspondent parfaitement \u00e0 l’apparence des sites l\u00e9gitimes, d’un sentiment d’urgence et d’une connexion coh\u00e9rente via SMS et appels vocaux est ce qui a donn\u00e9 aux acteurs de la menace autant de succ\u00e8s dans le vol de donn\u00e9es de haute qualit\u00e9. “, a not\u00e9 Lookout.<\/p>\n Cette \u00e9volution intervient alors que Fortra a r\u00e9v\u00e9l\u00e9 que les institutions financi\u00e8res au Canada \u00e9taient la cible d’un nouveau groupe de phishing en tant que service (PhaaS) appel\u00e9 LabHost, d\u00e9passant son rival Frappo en termes de popularit\u00e9 en 2023.<\/p>\n Les attaques de phishing de LabHost sont r\u00e9alis\u00e9es au moyen d’un outil de gestion de campagne en temps r\u00e9el nomm\u00e9 LabRat qui permet de lancer une attaque d’adversaire au milieu (AiTM) et de capturer les informations d’identification et les codes 2FA.<\/p>\n L’acteur malveillant a \u00e9galement d\u00e9velopp\u00e9 un outil de spam par SMS baptis\u00e9 LabSend, qui fournit une m\u00e9thode automatis\u00e9e d’envoi de liens vers les pages de phishing LabHost, permettant ainsi \u00e0 ses clients de lancer des campagnes de smishing \u00e0 grande \u00e9chelle.<\/p>\n “Les services LabHost permettent aux acteurs malveillants de cibler diverses institutions financi\u00e8res avec des fonctionnalit\u00e9s allant des mod\u00e8les pr\u00eats \u00e0 l’emploi aux outils de gestion de campagne en temps r\u00e9el et aux leurres SMS”, explique la soci\u00e9t\u00e9. dit<\/a>.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/03\/Un-nouveau-kit-de-phishing-exploite-les-SMS-et-les.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n