Интересно CryptoChameleon: фишинговый набор, способный разрушить криптовалютную индустрию

[Sepultura_North]

CryptoChameleon: фишинговый набор, способный разрушить криптовалютную индустрию​

10:20 / 4 марта, 2024

Теперь нужно быть бдительным, даже если заходишь на сайты федеральных служб.

Компания Lookout - это американская компания, которая специализируется на кибербезопасности мобильных устройств и облачных решений. Она была основана в 2007 году и на сегодняшний день имеет офисы в США, Европе и Азии.

Компания предлагает решения для защиты мобильных устройств от различных угроз, включая вирусы, фишинг, вредоносное ПО и другие виды кибератак.
Lookout сообщает, что новый фишинговый набор CryptoChameleon стал инструментом атак на сотрудников Федеральной комиссии по связи (Федеральная комиссия связи США (FCC) - это независимое агентство федерального правительства Соединенных Штатов, отвечающее за регулирование и надзор за связью, радиовещанием, интернетом и другими коммуникационными секторами в стране.

FCC было создано в 1934 году и является органом, ответственным за разработку и осуществление политики, касающейся коммуникаций в США. Агенство регулирует и выдает лицензии на использование радиочастот, контролирует конкуренцию на рынке связи и обеспечивает безопасность радиоэлектронного оборудования.
FCC, в ходе которых используется поддельная система аутентификации Okta — это американская технологическая компания, специализирующаяся на обеспечении идентификации, аутентификации и управлении доступом для приложений и сервисов в облаке. Основана в 2009 году Тоддом МакЛенном и Фредом Шефелбайном. Одним из основных продуктов Okta является идентификационная платформа, которая позволяет организациям обеспечивать безопасный доступ к своим приложениям и данным.

Компания предоставляет решения для управления идентификацией и доступом как для внутренних систем и сотрудников, так и для внешних пользователей, клиентов и партнеров. Продукты Okta также включают в себя инструменты для многофакторной аутентификации, одноразовых паролей и других технологии для обеспечения безопасности в цифровом пространстве.
Okta.
Кампания нацелена на пользователей и сотрудников криптовалютных платформ, включая Binance, Coinbase, Kraken и Gemini, с использованием фишинговых страниц, имитирующих Okta, Gmail, iCloud, Outlook, X, Yahoo и AOL.
Злоумышленники организуют сложные фишинговые и атаки социальной инженерии, включающие взаимодействие через электронную почту, SMS и голосовой фишинг (Вишинг от англ. «Voice Phishing» или «голосовой фишинг» – это вид кибератак, в которых злоумышленники используют телефонные звонки и хитроумные методы социальной инженерии, чтобы заполучить конфиденциальную информацию своих целей.
Вишинг, чтобы обманом заставить жертв вводить конфиденциальную информацию на поддельных страницах – имена пользователей, пароли и даже фотографии паспорта.

Злоумышленники готовят атаку, первым делом регистрируя домены, очень похожие на домены легитимных сайтов. Например, для FCC они создали домен «fcc-okta[.]com», отличающийся всего на один символ от действительной страницы единого входа FCC (Single Sign-On или технология единого входа – технология, при использовании которой пользователь переходит из одного раздела портала в другой, либо из одной системы в другую, не связанную с первой системой, без повторной аутентификации.
Single Sign-On, SSOчерез Okta.

Фишинговое SMS-сообщение (слева) и поддельная страница (справа)​

Атакующие могут звонить, отправлять электронные письма или SMS цели, притворяясь службой поддержки, и направлять их на фишинговый сайт для «восстановления» своих аккаунтов. На сайте мошенников жертву встречает CAPTCHA, что, по словам Lookout, служит как фильтрация ботов, а также добавляет правдоподобности процессу. Пройдя CAPTCHA, посетитель видит хорошо спроектированную фишинговую страницу, которая выглядит как точная копия настоящей страницы входа Okta.

Слева направо: страница проверки CAPTCHA, фишинговая страница FCC и поддельная страница ожидания​

Набор для фишинга CryptoChameleon позволяет киберпреступнику взаимодействовать с жертвами в реальном времени, чтобы облегчить сценарии, например, запроса кодов многофакторной аутентификации (MFA) для захвата аккаунта цели.
Центральная панель управления процессом фишинга позволяет атакующему настраивать фишинговую страницу, включая в нее цифры телефонного номера жертвы, делая более правдоподобные запросы кода MFA.
После завершения фишингового процесса жертва может быть перенаправлена на подлинную страницу входа в систему или на поддельный портал, заявляющий, что её аккаунт находится на рассмотрении. Оба варианта направления используются для снижения подозрений и предоставления атакующему больше времени для использования украденной информации.
Погружаясь глубже, Lookout получил представление о дополнительных целях в криптовалютном пространстве, анализируя набор для фишинга и находя соответствующие приманки. Исследователи также получили краткосрочный доступ к логам бэкенда атакующих, подтверждая, что кампания привела к высокоценным компрометациям.
По оценкам специалистов, киберпреступники провели фишинговые атаки на более чем 100 жертв. Многие из сайтов все еще активны и продолжают фишинг для получения большего количества учетных данных каждый час.
Основными хостингами для фишинговых страниц в конце 2023 года были Hostwinds и Hostinger, но позже мошенники перешли на сеть передачи данных RetnNet, которая предлагает более длительный операционный период для подобных сайтов.
Lookout не смогла определить, используется ли CryptoChameleon исключительно одним субъектом угрозы или сдается в аренду нескольким группам. Независимо от того, кто стоит за фишинговым набором, его продвинутый характер, стратегия таргетинга и методы коммуникации операторов, а также высокое качество фишинговых материалов подчеркивают воздействие, которое сервис может оказать на целевые организации.