Был замечен новый фишинговый набор, выдающий себя за страницы входа в хорошо известные криптовалютные сервисы, как часть кластера атак, предназначенного в первую очередь для мобильных устройств.
"Этот набор позволяет злоумышленникам создавать точные копии страниц единого входа (SSO), а затем использовать комбинацию электронной почты, SMS и голосового фишинга, чтобы обманом заставить цель поделиться именами пользователей, паролями, URL-адресами для сброса пароля и даже удостоверениями личности с фотографиями сотен жертв, в основном в Соединенных Штатах", - говорится в отчете Lookout.
Целями фишингового набора являются сотрудники Федеральной комиссии по связи (FCC), Binance, Coinbase и пользователи криптовалюты на различных платформах, таких как Binance, Coinbase, Gemini, Kraken, ShakePay, Caleb & Brown и Trezor. На сегодняшний день более 100 жертв были успешно выловлены фишингом.
Фишинговые страницы спроектированы таким образом, что поддельный экран входа в систему отображается только после того, как жертва завершит тест на КАПЧУ с использованием hCaptcha, что предотвращает пометку сайтов инструментами автоматического анализа.
В некоторых случаях эти страницы распространяются посредством нежелательных телефонных звонков и текстовых сообщений путем подделки службы поддержки клиентов компании под предлогом защиты их учетной записи после предполагаемого взлома.
Как только пользователь вводит свои учетные данные, его либо просят ввести код двухфакторной аутентификации (2FA), либо просят "подождать", пока он утверждает, что проверяет предоставленную информацию.
"Злоумышленник, вероятно, пытается войти в систему, используя эти учетные данные в режиме реального времени, затем перенаправляет жертву на соответствующую страницу в зависимости от того, какую дополнительную информацию запрашивает служба MFA, к которой злоумышленник пытается получить доступ", - сказал Lookout.
Фишинговый набор также пытается создать иллюзию доверия, позволяя оператору настраивать фишинговую страницу в режиме реального времени, вводя последние две цифры фактического номера телефона жертвы и выбирая, следует ли запрашивать у жертвы шестизначный или семизначный токен.
Одноразовый пароль (OTP), введенный пользователем, затем перехватывается субъектом угрозы, который использует его для входа в желаемый онлайн-сервис с помощью предоставленного токена. На следующем этапе жертва может быть перенаправлена на любую страницу по выбору злоумышленника, включая легитимную страницу входа в Okta или страницу, на которой отображаются индивидуальные сообщения.
Lookout заявила, что кампания имеет сходство с кампанией Scattered Spider, особенно в том, что она олицетворяет Okta и использует домены, которые ранее были идентифицированы как аффилированные с группой.
"Несмотря на URL-адреса и поддельные страницы, похожие на то, что может создать Spider, в фишинговом наборе есть существенно отличающиеся возможности и инфраструктура C2", - заявили в компании. "Этот тип подражания распространен среди групп, действующих в рамках угроз, особенно когда ряд тактик и процедур имели такой большой общественный успех".
В настоящее время также неясно, является ли это работой одного субъекта угрозы или общим инструментом, используемым разными группами.
"Сочетание высококачественных фишинговых URL-адресов, страниц входа в систему, которые идеально соответствуют внешнему виду законных сайтов, ощущение срочности и постоянное соединение с помощью SMS и голосовых вызовов - вот что дало злоумышленникам такой успех в краже высококачественных данных", - отметили в Lookout.
Разработка началась после того, как Fortra сообщила, что финансовые учреждения Канады попали под прицел новой группы по фишингу в качестве услуги (PhaaS) под названием LabHost, обогнавшей по популярности своего конкурента Frappo в 2023 году.
Фишинговые атаки LabHost предотвращаются с помощью инструмента управления кампанией в режиме реального времени под названием LabRat, который позволяет организовать атаку "злоумышленник посередине" (AiTM) и захватить учетные данные и коды 2FA.
Также компания the threat actor разработала инструмент для рассылки SMS-спама под названием labSend, который предоставляет автоматизированный метод отправки ссылок на фишинговые страницы LabHost, тем самым позволяя своим клиентам проводить масштабные кампании по рассылке фишинговых сообщений.
"Сервисы LabHost позволяют субъектам угроз атаковать различные финансовые учреждения с помощью функций, начиная от готовых к использованию шаблонов, инструментов управления кампаниями в режиме реального времени и SMS-приманок", - сказали в компании.
"Этот набор позволяет злоумышленникам создавать точные копии страниц единого входа (SSO), а затем использовать комбинацию электронной почты, SMS и голосового фишинга, чтобы обманом заставить цель поделиться именами пользователей, паролями, URL-адресами для сброса пароля и даже удостоверениями личности с фотографиями сотен жертв, в основном в Соединенных Штатах", - говорится в отчете Lookout.
Целями фишингового набора являются сотрудники Федеральной комиссии по связи (FCC), Binance, Coinbase и пользователи криптовалюты на различных платформах, таких как Binance, Coinbase, Gemini, Kraken, ShakePay, Caleb & Brown и Trezor. На сегодняшний день более 100 жертв были успешно выловлены фишингом.
Фишинговые страницы спроектированы таким образом, что поддельный экран входа в систему отображается только после того, как жертва завершит тест на КАПЧУ с использованием hCaptcha, что предотвращает пометку сайтов инструментами автоматического анализа.
В некоторых случаях эти страницы распространяются посредством нежелательных телефонных звонков и текстовых сообщений путем подделки службы поддержки клиентов компании под предлогом защиты их учетной записи после предполагаемого взлома.
Как только пользователь вводит свои учетные данные, его либо просят ввести код двухфакторной аутентификации (2FA), либо просят "подождать", пока он утверждает, что проверяет предоставленную информацию.
"Злоумышленник, вероятно, пытается войти в систему, используя эти учетные данные в режиме реального времени, затем перенаправляет жертву на соответствующую страницу в зависимости от того, какую дополнительную информацию запрашивает служба MFA, к которой злоумышленник пытается получить доступ", - сказал Lookout.
Фишинговый набор также пытается создать иллюзию доверия, позволяя оператору настраивать фишинговую страницу в режиме реального времени, вводя последние две цифры фактического номера телефона жертвы и выбирая, следует ли запрашивать у жертвы шестизначный или семизначный токен.
Одноразовый пароль (OTP), введенный пользователем, затем перехватывается субъектом угрозы, который использует его для входа в желаемый онлайн-сервис с помощью предоставленного токена. На следующем этапе жертва может быть перенаправлена на любую страницу по выбору злоумышленника, включая легитимную страницу входа в Okta или страницу, на которой отображаются индивидуальные сообщения.
Lookout заявила, что кампания имеет сходство с кампанией Scattered Spider, особенно в том, что она олицетворяет Okta и использует домены, которые ранее были идентифицированы как аффилированные с группой.
"Несмотря на URL-адреса и поддельные страницы, похожие на то, что может создать Spider, в фишинговом наборе есть существенно отличающиеся возможности и инфраструктура C2", - заявили в компании. "Этот тип подражания распространен среди групп, действующих в рамках угроз, особенно когда ряд тактик и процедур имели такой большой общественный успех".
В настоящее время также неясно, является ли это работой одного субъекта угрозы или общим инструментом, используемым разными группами.
"Сочетание высококачественных фишинговых URL-адресов, страниц входа в систему, которые идеально соответствуют внешнему виду законных сайтов, ощущение срочности и постоянное соединение с помощью SMS и голосовых вызовов - вот что дало злоумышленникам такой успех в краже высококачественных данных", - отметили в Lookout.
Разработка началась после того, как Fortra сообщила, что финансовые учреждения Канады попали под прицел новой группы по фишингу в качестве услуги (PhaaS) под названием LabHost, обогнавшей по популярности своего конкурента Frappo в 2023 году.
Фишинговые атаки LabHost предотвращаются с помощью инструмента управления кампанией в режиме реального времени под названием LabRat, который позволяет организовать атаку "злоумышленник посередине" (AiTM) и захватить учетные данные и коды 2FA.
Также компания the threat actor разработала инструмент для рассылки SMS-спама под названием labSend, который предоставляет автоматизированный метод отправки ссылок на фишинговые страницы LabHost, тем самым позволяя своим клиентам проводить масштабные кампании по рассылке фишинговых сообщений.
"Сервисы LabHost позволяют субъектам угроз атаковать различные финансовые учреждения с помощью функций, начиная от готовых к использованию шаблонов, инструментов управления кампаниями в режиме реального времени и SMS-приманок", - сказали в компании.
