Un nuevo kit de phishing ha sido observado suplantando las páginas de inicio de sesión de servicios de criptomonedas conocidos como parte de un grupo de ataques denominado CryptoChameleon, diseñado principalmente para atacar dispositivos móviles.
“Este kit permite a los atacantes construir copias exactas de páginas de inicio de sesión único (SSO), luego utilizar una combinación de phishing por correo electrónico, SMS y voz para engañar al objetivo y compartir nombres de usuario, contraseñas, URL de restablecimiento de contraseña e incluso fotos de identificación de cientos de víctimas, en su mayoría en los Estados Unidos”, dijo Lookout en un informe.
Los objetivos del kit de phishing incluyen empleados de la Comisión Federal de Comunicaciones (FCC), Binance, Coinbase y usuarios de criptomonedas de varias plataformas como Binance, Coinbase, Gemini, Kraken, ShakePay, Caleb & Brown y Trezor. Más de 100 víctimas han sido phisheadas con éxito hasta la fecha.
Las páginas de phishing están diseñadas de manera que la pantalla de inicio de sesión falsa se muestra solo después de que la víctima complete una prueba CAPTCHA utilizando hCaptcha, evitando así que las herramientas de análisis automatizado detecten los sitios.
En algunos casos, estas páginas se distribuyen a través de llamadas telefónicas y mensajes de texto no solicitados, suplantando al equipo de soporte al cliente de una empresa bajo el pretexto de asegurar su cuenta después de un presunto hackeo.
Una vez que el usuario ingresa sus credenciales, se le pide que proporcione un código de autenticación de dos factores (2FA) o se le pide que “espere” mientras supuestamente verifica la información proporcionada.
“Es probable que el atacante intente iniciar sesión con estas credenciales en tiempo real, luego redirige a la víctima a la página apropiada según la información adicional que solicite el servicio de MFA al que el atacante intenta acceder”, dijo Lookout.
El kit de phishing también intenta dar una ilusión de credibilidad al permitir que el operador personalice la página de phishing en tiempo real proporcionando los dos últimos dígitos del número de teléfono real de la víctima y seleccionando si se debe solicitar un token de seis o siete dígitos.
El código de contraseña de un solo uso (OTP) ingresado por el usuario es capturado por el actor de amenazas, quien lo utiliza para iniciar sesión en el servicio en línea deseado utilizando el token proporcionado. En el siguiente paso, la víctima puede ser dirigida a cualquier página elegida por el atacante, incluida la página de inicio de sesión legítima de Okta o una página que muestre mensajes personalizados.
Lookout dijo que el modus operandi de CryptoChameleon se asemeja a las técnicas utilizadas por Scattered Spider, específicamente en su personación de Okta y el uso de dominios que han sido identificados previamente como afiliados al grupo.
“A pesar de que las URL y las páginas falsificadas se parecen a lo que Scattered Spider podría crear, hay capacidades de infraestructura C2 significativamente diferentes dentro del kit de phishing”, dijo la compañía. “Este tipo de imitación es común entre los grupos de actores de amenazas, especialmente cuando una serie de tácticas y procedimientos han tenido tanto éxito público”.
Actualmente, tampoco está claro si este es el trabajo de un solo actor de amenazas o una herramienta común utilizada por diferentes grupos.
“La combinación de URLs de phishing de alta calidad, páginas de inicio de sesión que se ajustan perfectamente al aspecto y sensación de los sitios legítimos, un sentido de urgencia y conexión consistente a través de SMS y llamadas de voz es lo que ha dado a los actores de amenazas tanto éxito al robar datos de alta calidad”, señaló Lookout.