Ένα νέο phishing kit με το όνομα CryptoChameleon στοχεύει υπαλλήλους της Ομοσπονδιακής Επιτροπής Επικοινωνιών (FCC), χρησιμοποιώντας ειδικά διαμορφωμένες σελίδες single sign-on (SSO) για την Okta. Οι σελίδες είναι παρόμοιες με τις πραγματικές, μπερδεύοντας τους υπαλλήλους.
Το phishing kit χρησιμοποιείται και για τη στόχευση υπαλλήλων και χρηστών πλατφορμών crypto, όπως οι Binance, Coinbase, Kraken και Gemini. Σε αυτές τις επιθέσεις, χρησιμοποιούνται σελίδες phishing που υποδύονται τις Okta, Gmail, iCloud, Outlook, Twitter, Yahoo και AOL.
Οι επιτιθέμενοι πραγματοποιούν περίπλοκες επιθέσεις phishing και social engineering, οι οποίες περιλαμβάνουν emails, SMS και voice phishing. Στόχος είναι να αποσπάσουν από τα θύματα ευαίσθητες πληροφορίες, όπως ονόματα χρήστη, κωδικούς πρόσβασης, ακόμα και photo IDs.
Οι επιθέσεις ανακαλύφθηκαν από ερευνητές της Lookout, και σύμφωνα με τις παρατηρήσεις τους, μοιάζουν με την εκστρατεία Oktapus του 2022 που διεξήχθη από τους hackers Scattered Spider.
Δείτε επίσης: Phishing emails: Προειδοποιητικά σημάδια και tips προστασίας
Social engineering επιθέσεις
Οι επιτιθέμενοι χρησιμοποιούν domains που μοιάζουν πολύ με τα domains των νόμιμων οντοτήτων που μιμούνται. Στην περίπτωση των επιθέσεων εναντίον της FCC, δημιούργησαν το “fcc-okta[.]com“, το οποίο έχει μόνο έναν διαφορετικό χαρακτήρα από τη νόμιμη σελίδα Okta single-sign-on της FCC. Έτσι, κάποιος μπορεί να μην παρατηρήσει άμεσα τη διαφορά.
Στη συνέχεια, οι επιτιθέμενοι καλούν τα θύματα στο τηλέφωνο, στέλνουν emails ή SMS και υποδύονται την υποστήριξη πελατών, κατευθύνοντας τα θύματα στον ιστότοπο phishing για την υποτιθέμενη ανάκτηση των λογαριασμών τους.
Τα θύματα που πείθονται και πηγαίνουν στον phishing ιστότοπο, καλούνται να λύσουν ένα CAPTCHA challenge, που σκοπό έχει να προσδώσει νομιμότητα στη διαδικασία.
Όσοι περάσουν από αυτό το βήμα, καταλήγουν σε μια καλά σχεδιασμένη σελίδα phishing, που μοιάζει με τον γνήσιο ιστότοπο σύνδεσης της Okta.
Το phishing kit CryptoChameleon που αναπτύσσεται από τους εγκληματίες του κυβερνοχώρου, τους επιτρέπει να αλληλεπιδρούν με τα θύματα σε πραγματικό χρόνο, ώστε να γίνονται αιτήματα για πρόσθετο έλεγχο ταυτότητας σε περίπτωση που απαιτούνται κωδικοί ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA). Έτσι, οι επιτιθέμενοι αποκτούν τον έλεγχο των λογαριασμών των θυμάτων.
Ο κεντρικός πίνακας που ελέγχει τη διαδικασία phishing επιτρέπει στους εισβολείς να προσαρμόσουν τη σελίδα phishing, ώστε να περιλαμβάνει τα ψηφία του αριθμού τηλεφώνου του θύματος, με αποτέλεσμα τα SMS token να φαίνονται νόμιμα.
Δείτε επίσης: Το TimbreStealer malware εξαπλώνεται μέσω απάτης phishing
Αφού ολοκληρωθεί η διαδικασία phishing, το θύμα μπορεί να ανακατευθυνθεί στη σελίδα σύνδεσης της πραγματικής πλατφόρμας ή σε μια ψεύτικη πύλη που αναφέρει ότι γίνεται έλεγχος του λογαριασμού του.
Και στις δύο περιπτώσεις, οι επιτιθέμενοι κερδίζουν χρόνο, ώστε να εκμεταλλευτούν τις κλεμμένες πληροφορίες.
CryptoChameleon phishing kit και επιθέσεις
Οι ερευνητές της Lookout ανέλυσαν το phishing kit και βρήκαν διάφορα στοιχεία για τα θέλγητρα που χρησιμοποιούν οι hackers και τους στόχους τους.
Οι ερευνητές απέκτησαν επίσης βραχυπρόθεσμη πρόσβαση στα αρχεία καταγραφής backend του εισβολέα και διαπίστωσαν ότι τα phishing sites εξαπάτησαν περισσότερα από 100 άτομα. Επιπλέον, πολλά από τα phishing sites είναι ενεργά και εξακολουθούν να κλέβουν credentials ανυποψίαστων χρηστών και υπαλλήλων.
Οι ερευνητές είδαν ότι οι φορείς απειλών χρησιμοποίησαν κυρίως το Hostwinds και το Hostinger για να φιλοξενήσουν τις σελίδες phishing στα τέλη του 2023. Αργότερα άλλαξαν στο RetnNet με έδρα τη Ρωσία.
Η Lookout δεν μπόρεσε να προσδιορίσει εάν το CryptoChameleon phishing kit χρησιμοποιείται από συγκεκριμένους hackers ή ενοικιάζεται σε πολλές ομάδες.
Δείτε επίσης: Bitwarden: Νέα auto-fill επιλογή μειώνει τον κίνδυνο credential phishing
Όπως και να έχει, ο αριθμός των επιθέσεων και η πολύπλευρη προσέγγιση των θυμάτων (email, SMS, κλήσεις κλπ), δείχνει ότι πρόκειται για σημαντική απειλή και ότι οι χρήστες πρέπει να είναι προσεκτικοί.
Το πρώτο και πιο σημαντικό βήμα για την προστασία από phishing επιθέσεις είναι η εκπαίδευση. Είναι απαραίτητο να αναγνωρίζετε μια προσπάθεια phishing, που μπορεί να περιλαμβάνει ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου, συνδέσμους ή σελίδες σύνδεσης, όπως στην περίπτωση του CryptoChameleon.
Δεύτερον, χρησιμοποιήστε πάντα ενημερωμένο λογισμικό ασφαλείας. Αυτό μπορεί να περιλαμβάνει antivirus προγράμματα και λογισμικό προστασίας από phishing. Αυτά τα εργαλεία μπορούν να σας βοηθήσουν να αναγνωρίσετε και να αποφύγετε τις προσπάθειες phishing.
Τρίτον, προσέξτε τα προσωπικά σας δεδομένα. Μην κοινοποιείτε ποτέ προσωπικές πληροφορίες, όπως credentials, τραπεζικές σας λεπτομέρειες ή τον αριθμό της κάρτας σας, μέσω ηλεκτρονικού ταχυδρομείου ή σε ιστοσελίδες στις οποίες οδηγείστε από περίεργους συνδέσμους. Πληκτρολογήστε στο browser το όνομα της υπηρεσίας και συνδεθείτε πάντα από την επίσημη σελίδα.
Τέλος, χρησιμοποιήστε διαφορετικούς κωδικούς πρόσβασης για διαφορετικούς λογαριασμούς και αλλάξτε τους τακτικά. Αυτό μπορεί να σας βοηθήσει να προστατεύσετε τους λογαριασμούς σας.
Πηγή: www.bleepingcomputer.com
