Um novo kit de phishing foi observado imitando as páginas de login de serviços de criptomoedas conhecidos como parte de um conjunto de ataques codificado como CryptoChameleon, projetado principalmente para alvejar dispositivos móveis.
“Este kit permite que os atacantes criem cópias idênticas das páginas de autenticação única (SSO), e então usem uma combinação de e-mail, SMS e phishing por voz para enganar o alvo e compartilhar nomes de usuário, senhas, URLs de redefinição de senha e até mesmo IDs de foto de centenas de vítimas, principalmente nos Estados Unidos”, disse a Lookout em um relatório.
“O atacante provavelmente tenta fazer login usando essas credenciais em tempo real e, em seguida, redireciona a vítima para a página apropriada, dependendo das informações adicionais solicitadas pelo serviço MFA que o atacante está tentando acessar”
Lookout.
Os alvos do kit de phishing incluem funcionários da Comissão Federal de Comunicações dos Estados (FCC) , Binance, Coinbase e usuários de criptomoedas de várias plataformas como Binance, Coinbase, Gemini, Kraken, ShakePay, Caleb & Brown e Trezor. Mais de 100 vítimas foram phishadas com sucesso até o momento.
As páginas de phishing são projetadas de forma que a tela falsa de login seja exibida somente depois que a vítima completar um teste CAPTCHA usando o hCaptcha, evitando assim que ferramentas de análise automatizada identifiquem os sites.
Em alguns casos, essas páginas são distribuídas através de chamadas telefônicas e mensagens de texto não solicitadas, falsificando a equipe de suporte ao cliente de uma empresa sob o pretexto de proteger sua conta após um suposto hack.
Uma vez que o usuário insere suas credenciais, é solicitado que forneçam um código de autenticação em duas etapas (2FA) ou que “aguardem” enquanto supostamente verifica as informações fornecidas.
“O atacante provavelmente tenta fazer login usando essas credenciais em tempo real e, em seguida, redireciona a vítima para a página apropriada, dependendo das informações adicionais solicitadas pelo serviço MFA que o atacante está tentando acessar”, disse a Lookout.
O kit de phishing também tenta dar a ilusão de credibilidade, permitindo que o operador personalize a página de phishing em tempo real, fornecendo os dois últimos dígitos do número de telefone real da vítima e selecionando se a vítima deve ser solicitada a um token de seis ou sete dígitos.
A senha de uso único (OTP) inserida pelo usuário é então capturada pelo ator da ameaça, que a usa para fazer login no serviço online desejado usando o token fornecido. Na próxima etapa, a vítima pode ser direcionada para qualquer página escolhida pelo atacante, incluindo a página de login legítima da Okta ou uma página que exibe mensagens personalizadas.
A Lookout disse que o modus operandi do CryptoChameleon se assemelha às técnicas usadas pelo Scattered Spider, especificamente em sua imitação da Okta e no uso de domínios anteriormente identificados como afiliados ao grupo.
“Apesar de os URLs e páginas falsificadas parecerem semelhantes ao que o Scattered Spider poderia criar, existem capacidades e infraestrutura C2 significativamente diferentes dentro do kit de phishing”, disse a empresa. “
Esse tipo de imitação é comum entre grupos de atores de ameaças, especialmente quando uma série de táticas e procedimentos têm tanto sucesso público.”
Atualmente, também não está claro se este é o trabalho de um único ator de ameaça ou uma ferramenta comum sendo usada por diferentes grupos.
“A combinação de URLs de phishing de alta qualidade, páginas de login que correspondem perfeitamente à aparência e à sensação dos sites legítimos, um senso de urgência e uma conexão consistente por meio de SMS e chamadas de voz é o que tem dado tanto sucesso aos atores de ameaças na obtenção de dados de alta qualidade”, observou a Lookout.
O desenvolvimento surge quando a Fortra revelou que instituições financeiras no Canadá estão sob o alvo de um novo grupo de phishing como serviço (PhaaS) chamado LabHost, superando seu rival Frappo em popularidade em 2023.
Os ataques de phishing da LabHost são realizados por meio de uma ferramenta de gerenciamento de campanha em tempo real chamada LabRat, que possibilita realizar um ataque de adversário no meio (AiTM) e capturar credenciais e códigos 2FA.
Também desenvolvido pelo ator de ameaças está uma ferramenta de spam por SMS apelidada de LabSend, que fornece um método automatizado para enviar links para páginas de phishing da LabHost, permitindo assim que seus clientes realizem campanhas de smishing em grande escala.
“Os serviços da LabHost permitem que os atores de ameaças visem uma variedade de instituições financeiras com recursos que vão desde modelos prontos para uso, ferramentas de gerenciamento de campanhas em tempo real e iscas por SMS”, disse a empresa.
Achou essa noticia interessante? Comente, Inscreva-se na nossa newsletter ou siga-nos em nossas redes sociais para ler mais conteúdos exclusivos que publicamos.
Receba as últimas atualizações diretamente no seu celular através do nosso canal no WhatsApp. Clique aqui para se conectar agora.
Obtenha mais coisas como esta
Inscreva-se em nossa newsletter e receba conteúdos interessantes e atualizações em sua caixa de entrada de e-mail.
Obrigado por se inscrever.
Algo correu mal.
