Επιθέσεις phishing σε εταιρείες FCC και κρυπτογράφησης με πλαστά στοιχεία σύνδεσης Okta
Ερευνητές ασφαλείας παρατήρησαν
μι
α εξαιρετικά εξελιγμένη καμπάνια phishing που στοχεύει υπαλλήλους της Ομοσπονδιακής Επιτροπής Επικοινωνιών των ΗΠΑ (FCC), καθώς και δημοφιλών ανταλλαγών
κρυπτο
γράφησης
Binance
, Coinbase,
Kraken
και Gemini.
Ο άγνωστος ακόμη ηθοποιός απειλών αναζητά τα διαπιστευτήρια σύνδεσης των ανθρώπων για την Okta, βρήκαν ερευνητές από το Lookout.
Πρώτον, θα δημιουργούσαν σελίδες προορισμού για τη σύνδεση σε μέρη όπως η πύλη FCC ή το Binance. Αυτές οι σελίδες προορισμού θα ήταν φαινομενικά πανομοιότυπες με τις αυθεντικές και φιλοξενούνται ως επί το πλείστον στο RetnNet (μια ρωσική υπηρεσία φιλοξενίας ιστοσελίδων που μπορεί να είναι πιο ανεκτική στο έγκλημα στον
κυβερνοχώρο
από ό,τι οι δυτικές ομοειδείς της).
Περισσότερα από 100 θύματα
Για να δημιουργήσουν αυτές τις σελίδες, θα χρησιμοποιούσαν ένα άγνωστο κιτ phishing που ονομάζεται CryptoChameleon. Εκτός από τη δημιουργία σελίδων προορισμού, αυτό το κιτ βοηθά επίσης με κλήσεις, email και μηνύματα SMS που χρησιμεύουν ως το αρχικό σημείο επικοινωνίας με τον στόχο. Για παράδειγμα, οι εισβολείς θα το χρησιμοποιούσαν για να «ειδοποιήσουν» το θύμα ότι το Binance «εντόπισε» μια ύποπτη σύνδεση και για να μοιραστούν έναν σύνδεσμο για να «ασφαλίσουν» τον λογαριασμό. Στη συνέχεια, ο σύνδεσμος θα οδηγούσε το θύμα στον ιστότοπο phishing, όπου συγκεντρώνονται όλα τα απαραίτητα διαπιστευτήρια σύνδεσης.
Οι εισβολείς μπορούν επίσης να χρησιμοποιήσουν το κιτ για να αναμεταδώσουν κωδικούς ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) και άλλους κωδικούς πρόσβασης μίας χρήσης, για να ολοκληρώσουν τη διαδικασία σύνδεσης. Μόλις ολοκληρωθεί, το θύμα είτε θα ανακατευθυνθεί στην αυθεντική σελίδα σύνδεσης είτε σε μια δευτερεύουσα δόλια σελίδα που υποστηρίζει ότι ο λογαριασμός είναι “υπό εξέταση”. Αυτό γίνεται για να κερδίσει περισσότερο χρόνο για τους επιτιθέμενους.
«Οι ιστότοποι φαίνεται να έχουν επιτυχώς phishing σε περισσότερα από 100 θύματα, με βάση τα αρχεία καταγραφής που παρατηρήθηκαν», ανέφεραν οι ερευνητές. “Πολλοί από τους ιστότοπους εξακολουθούν να είναι ενεργοί και συνεχίζουν να ψαρεύουν για περισσότερα διαπιστευτήρια κάθε ώρα.”
Αν και οι ερευνητές δεν μπόρεσαν να επιβεβαιώσουν την ταυτότητα των επιτιθέμενων, είπαν ότι η καμπάνια μοιάζει πολύ με την εκστρατεία Oktapus του 2022, η οποία διεξήχθη από την Scattered Spider. Η ομάδα δεν είναι γνωστό ότι χρηματοδοτείται από το κράτος.
Μέσω
BleepingComputer
VIA:
TechRadar.com/
