Новый набор для фишинга использует SMS и голосовые вызовы для атаки на пользователей криптовалют
Наблюдается новый набор для фишинга, имитирующий страницы входа в известные сервисы криптовалют как часть кластера атак, нацеленного в первую очередь на мобильные устройства.
"Этот набор позволяет злоумышленникам создавать точные копии страниц единого входа (SSO), затем используя комбинацию электронной почты, SMS и голосового фишинга, чтобы обманом заставить цель поделиться именами пользователей, паролями, URL-адресами сброса пароля и даже фото ID сотен жертв, в основном в Соединенных Штатах", - сказано в отчете Lookout.
Целями набора для фишинга являются сотрудники Федеральной комиссии по связи (FCC), Binance, Coinbase и пользователи криптовалют различных платформ, таких как Binance, Coinbase, Gemini, Kraken, ShakePay, Caleb & Brown и Trezor. На сегодняшний день более 100 жертв были успешно обмануты.
Фишинговые страницы разработаны таким образом, что поддельный экран входа отображается только после того, как жертва проходит тест CAPTCHA с использованием hCaptcha, тем самым предотвращая автоматический анализ инструментами.
В некоторых случаях эти страницы распространяются через нежелательные телефонные звонки и текстовые сообщения, имитируя команду поддержки компании под предлогом защиты их аккаунта после предполагаемой атаки хакеров.
Как только пользователь вводит свои учетные данные, ему либо предлагается предоставить код двухфакторной аутентификации (2FA), либо предлагается "подождать", пока система якобы проверяет предоставленную информацию.
"Злоумышленник, вероятно, пытается войти, используя эти учетные данные в реальном времени, затем перенаправляет жертву на соответствующую страницу в зависимости от того, какая дополнительная информация запрашивается службой MFA, к которой пытается получить доступ злоумышленник", - сказал Lookout.
Набор для фишинга также пытается создать иллюзию достоверности, позволяя оператору в реальном времени настраивать фишинговую страницу, предоставляя последние две цифры фактического номера телефона жертвы и выбирая, следует ли спрашивать у жертвы шестизначный или семизначный токен.
Одноразовый пароль (OTP), введенный пользователем, затем перехватывается злоумышленником, который использует его для входа в желаемую онлайн-службу с использованием предоставленного токена. На следующем шаге жертву могут перенаправить на любую страницу по выбору атакующего, включая легитимную страницу входа Okta или страницу, отображающую настроенные сообщения.
Lookout сказал, что кампания имеет сходства с действиями Scattered Spider, в частности, в имитации Okta и использовании доменов, которые ранее были идентифицированы как аффилированные с группой.
"Несмотря на то, что URL-адреса и поддельные страницы выглядят похоже на то, что могло бы создать Scattered Spider, в наборе для фишинга есть значительные отличия и инфраструктура C2. Такой тип копирования распространен среди групп угроз, особенно когда серия тактик и процедур имела такой большой общественный успех."
В настоящее время также неясно, является ли это работой одного злоумышленника или общим инструментом, используемым разными группами.
"Комбинация высококачественных фишинговых URL, страниц входа, которые идеально соответствуют внешнему виду и ощущению легитимных сайтов, чувство срочности и постоянная связь через SMS и голосовые вызовы - вот что дало злоумышленникам такой большой успех в краже данных высокого качества", - отметил Lookout.
Это развитие событий происходит на фоне того, как Fortra раскрыла, что финансовые институты в Канаде стали целью новой группы фишинга как услуги (PhaaS) под названием LabHost, обогнав по популярности своего конкурента Frappo в 2023 году.
Фишинговые атаки LabHost осуществляются с помощью инструмента управления реальными кампаниями под названием LabRat, который позволяет организовать атаку типа "противник посередине" (AiTM) и перехватить учетные данные и коды 2FA.
Также разработанный злоумышленником инструмент для рассылки SMS под названием LabSend предоставляет автоматизированный способ отправки ссылок на фишинговые страницы LabHost, позволяя его клиентам масштабировать кампании smishing.
"Услуги LabHost позволяют злоумышленникам нацеливаться на различные финансовые институты с функциями, варьирующимися от готовых к использованию шаблонов до инструментов управления кампаниями в реальном времени и SMS-приманок", - сказала компания.
/ 🤑 Если ты хочешь так же жестко разводить 💰 европейских крипто мамонтов тогда к твоему вниманию ЛУЧШАЯ КОМАНДА ПО ПРИПТО СКАМУ : @ЭХХХ , А ТУТ МОГДА БЫ БЫТЬ ВАША РЕКЛАМА!!! ЗА ПОКУПКОЙ --> @HELPScamPedia
⭐️ Подписывайтесь на наш проект 🐟ScamPedia : https://t.me/+Kbr95TSbaGRiY2Iy
⭐️ Подписывайтесь на Журнал Хакера : https://t.me/+2wGp1dNRj5Y4NDgy
(Новости, истории, советы - всё о хакинге, взломах и кибербезопасности.)