Foi observado um novo kit de phishing personificando as páginas de login de serviços de criptomoeda conhecidos uma vez que segmento de um cluster de ataque projetado para atingir principalmente dispositivos móveis.
“Nascente kit permite que os invasores criem cópias carbono de páginas de login único (SSO) e, em seguida, usem uma combinação de e-mail, SMS e phishing de voz para induzir o branco a compartilhar nomes de usuário, senhas, URLs de redefinição de senha e até mesmo IDs com foto de centenas de vítimas, principalmente nos Estados Unidos”, disse a Lookout em um relatório.
Os alvos do kit de phishing incluem funcionários da Percentagem Federalista de Comunicações (FCC), Binance, Coinbase e usuários de criptomoedas de várias plataformas uma vez que Binance, Coinbase, Gemini, Kraken, ShakePay, Caleb & Brown e Trezor. Mais de 100 vítimas foram vítimas de phishing com sucesso até o momento.
As páginas de phishing são projetadas de forma que a tela de login falsa seja exibida somente depois a vítima concluir um teste CAPTCHA usando hCaptcha, evitando mal ferramentas de estudo automatizadas sinalizem os sites.
Em alguns casos, essas páginas são distribuídas por meio de chamadas telefônicas e mensagens de texto não solicitadas, falsificando a equipe de suporte ao cliente de uma empresa sob o pretexto de proteger sua conta depois um suposto hack.
Depois que o usuário insere suas credenciais, ele é solicitado a fornecer um código de autenticação de dois fatores (2FA) ou a “esperar” enquanto afirma verificar as informações fornecidas.
“O invasor provavelmente tenta fazer login usando essas credenciais em tempo real e, em seguida, redireciona a vítima para a página apropriada, dependendo de quais informações adicionais são solicitadas pelo serviço MFA que o invasor está tentando acessar”, disse Lookout.
O kit de phishing também tenta dar uma ilusão de credibilidade, permitindo que o operador personalize a página de phishing em tempo real, fornecendo os dois últimos dígitos do número de telefone real da vítima e selecionando se a vítima deve ser solicitada a fornecer um número de seis ou sete dígitos. símbolo.
A senha de uso único (OTP) inserida pelo usuário é portanto capturada pelo agente da ameaço, que a utiliza para entrar no serviço online desejado usando o token fornecido. Na próxima lanço, a vítima pode ser direcionada para qualquer página da escolha do invasor, incluindo a página de login legítima do Okta ou uma página que exibe mensagens personalizadas.
A Lookout disse que a campanha compartilha semelhanças com a do Scattered Spider, especificamente na representação de Okta e no uso de domínios que foram previamente identificados uma vez que afiliados ao grupo.
“Apesar dos URLs e páginas falsificadas parecerem semelhantes ao que o Scattered Spider pode fabricar, existem recursos e infraestrutura C2 significativamente diferentes no kit de phishing”, disse a empresa. “Esse tipo de transcrição é geral entre grupos de agentes de ameaças, principalmente quando uma série de táticas e procedimentos tiveram tanto sucesso público”.
Atualmente também não está simples se oriente é o trabalho de um único ator de ameaço ou se é uma utensílio geral usada por diferentes grupos.
“A combinação de URLs de phishing de subida qualidade, páginas de login que combinam perfeitamente com a aspecto dos sites legítimos, um siso de urgência e uma conexão consistente por meio de SMS e chamadas de voz é o que deu aos atores da ameaço tanto sucesso no roubo de dados de subida qualidade. “, observou Lookout.
O desenvolvimento ocorre no momento em que o Fortra revela que as instituições financeiras no Canadá foram branco de um novo grupo de phishing uma vez que serviço (PhaaS) chamado LabHost, ultrapassando seu rival Frappo em popularidade em 2023.
Os ataques de phishing do LabHost são realizados por meio de uma utensílio de gerenciamento de campanha em tempo real chamada LabRat, que torna provável encenar um ataque oponente no meio (AiTM) e conquistar credenciais e códigos 2FA.
Também foi desenvolvida pelo agente da ameaço uma utensílio de spam de SMS chamada LabSend, que fornece um método automatizado para enviar links para páginas de phishing da LabHost, permitindo mal seus clientes montem campanhas de smishing em grande graduação.
“Os serviços LabHost permitem que os agentes de ameaças atinjam uma variedade de instituições financeiras com recursos que vão desde modelos prontos para uso, ferramentas de gerenciamento de campanha em tempo real e iscas de SMS”, disse a empresa.
