Öncelikle mobil cihazları hedeflemek üzere tasarlanmış bir saldırı kümesinin parçası olarak, tanınmış kripto para birimi hizmetlerinin giriş sayfalarını taklit eden yeni bir kimlik avı kitinin gözlemlendiği görüldü.
“Bu kit, saldırganların tek oturum açma (SSO) sayfalarının karbon kopyalarını oluşturmasına, ardından e-posta, SMS ve sesli kimlik avı kombinasyonunu kullanarak hedefi kandırarak kullanıcı adlarını, parolaları, parola sıfırlama URL’lerini ve hatta fotoğraflı kimlik bilgilerini paylaşmasına olanak tanıyor. Yüzlerce kurban, çoğunlukla Amerika Birleşik Devletleri’nde,” Lookout söz konusu bir raporda.
Kimlik avı kitinin hedefleri arasında Federal İletişim Komisyonu (FCC), Binance, Coinbase çalışanları ve Binance, Coinbase, Gemini, Kraken, ShakePay, Caleb & Brown ve Trezor gibi çeşitli platformların kripto para birimi kullanıcıları yer alıyor. Bugüne kadar 100’den fazla kurban başarıyla kimlik avına tabi tutuldu.
Kimlik avı sayfaları, sahte giriş ekranının yalnızca kurban hCaptcha kullanarak bir CAPTCHA testini tamamladıktan sonra görüntüleneceği şekilde tasarlanmıştır, böylece otomatik analiz araçlarının siteleri işaretlemesi önlenir.
Bazı durumlarda bu sayfalar, bir şirketin müşteri destek ekibini, sözde bir saldırı sonrasında hesaplarını güvence altına alma bahanesiyle kandırarak, istenmeyen telefon görüşmeleri ve kısa mesajlar yoluyla dağıtılmaktadır.
Kullanıcı kimlik bilgilerini girdikten sonra ya iki faktörlü kimlik doğrulama (2FA) kodu sağlamaları istenir ya da sağlanan bilgilerin doğrulandığını iddia ederken “beklemeleri” istenir.
Lookout, “Saldırgan muhtemelen bu kimlik bilgilerini kullanarak gerçek zamanlı olarak oturum açmaya çalışır ve ardından, saldırganın erişmeye çalıştığı MFA hizmeti tarafından talep edilen ek bilgilere bağlı olarak kurbanı uygun sayfaya yönlendirir.” dedi.
Kimlik avı kiti ayrıca, kurbanın gerçek telefon numarasının son iki rakamını sağlayarak ve kurbandan altı mı yoksa yedi rakam mı isteneceğini seçerek, operatörün kimlik avı sayfasını gerçek zamanlı olarak özelleştirmesine olanak tanıyarak bir güvenilirlik yanılsaması vermeye çalışır. jeton.
Kullanıcı tarafından girilen tek kullanımlık şifre (OTP), daha sonra tehdit aktörü tarafından yakalanır ve bu şifreyi, sağlanan belirteci kullanarak istenen çevrimiçi hizmette oturum açmak için kullanır. Bir sonraki adımda kurban, meşru Okta oturum açma sayfası veya özelleştirilmiş mesajları görüntüleyen bir sayfa da dahil olmak üzere, saldırganın seçtiği herhangi bir sayfaya yönlendirilebilir.
Lookout, kampanyanın Scattered Spider ile benzerlikler taşıdığını, özellikle de Okta’nın kimliğine bürünmesi ve daha önce gruba bağlı olduğu belirlenen alanların kullanımı açısından benzerlikler taşıdığını söyledi.
Şirket, “URL’ler ve sahte sayfalar Scattered Spider’ın oluşturabileceğine benzer görünse de, kimlik avı kitinde önemli ölçüde farklı yetenekler ve C2 altyapısı var” dedi. “Bu tür taklitçilik, özellikle de bir dizi taktik ve prosedürün kamuoyunda bu kadar başarılı olduğu göz önüne alındığında, tehdit aktörü grupları arasında yaygındır.”
Şu anda bunun tek bir tehdit aktörünün işi mi yoksa farklı gruplar tarafından kullanılan ortak bir araç mı olduğu da belli değil.
“Yüksek kaliteli kimlik avı URL’leri, yasal sitelerin görünümü ve tarzıyla mükemmel bir şekilde eşleşen oturum açma sayfaları, aciliyet duygusu ve SMS ve sesli aramalar yoluyla tutarlı bağlantının birleşimi, tehdit aktörlerine yüksek kaliteli verileri çalmada bu kadar başarılı olmalarını sağlayan şeydir.” ,” diye belirtti Lookout.
Bu gelişme, Fortra’nın Kanada’daki finans kurumlarının LabHost adlı yeni bir hizmet olarak kimlik avı (PhaaS) grubunun hedefi haline geldiğini ve 2023’te popülerlik açısından rakibi Frappo’yu geride bıraktığını ortaya çıkarmasıyla ortaya çıktı.
LabHost’un kimlik avı saldırıları, ortadaki düşman (AiTM) saldırısının gerçekleştirilmesini ve kimlik bilgileri ile 2FA kodlarının ele geçirilmesini mümkün kılan LabRat adlı gerçek zamanlı bir kampanya yönetim aracı aracılığıyla gerçekleştirilir.
Tehdit aktörü tarafından geliştirilen LabSend adlı bir SMS spam aracı da LabHost kimlik avı sayfalarına bağlantılar göndermek için otomatik bir yöntem sağlayarak müşterilerinin geniş ölçekte smishing kampanyaları düzenlemesine olanak tanıyor.
Şirket, “LabHost hizmetleri, tehdit aktörlerinin kullanıma hazır şablonlardan, gerçek zamanlı kampanya yönetim araçlarına ve SMS cazibesine kadar çeşitli özelliklerle çeşitli finansal kurumları hedeflemesine olanak tanıyor” dedi. söz konusu.
