Un reciente hallazgo indica que un nuevo kit de phishing ha sido detectado. Este kit simula ser las páginas de inicio de sesión de conocidos servicios de criptomonedas como parte de una serie de ataques que buscan principalmente dispositivos móviles.
De acuerdo a un informe de Lookout, este kit permite a los atacantes replicar de forma exacta las páginas de inicio de sesión de acceso único (SSO), para luego, utilizando phishing por correo electrónico, SMS y voz, engañar a las víctimas y obtener sus nombres de usuario, contraseñas, enlaces para restablecer contraseñas, e incluso fotos de identificación, principalmente en Estados Unidos.
Entre los objetivos del kit de phishing están los empleados de la Comisión Federal de Comunicaciones (FCC), Binance, Coinbase, y usuarios de criptomonedas en diferentes plataformas como Binance, Coinbase, Gemini, Kraken, ShakePay, Caleb & Brown, y Trezor. Hasta el momento, se han logrado engañar a más de 100 víctimas.
Las páginas de phishing están diseñadas de tal manera que la pantalla falsa de inicio de sesión solo aparece después de que la víctima haya completado una prueba CAPTCHA usando hCaptcha, lo cual evita que las herramientas de análisis automático identifiquen los sitios.
En algunos casos, estas páginas se distribuyen mediante llamadas telefónicas y mensajes de texto no solicitados, suplantando al equipo de soporte al cliente de la empresa bajo el pretexto de asegurar su cuenta tras un supuesto hackeo.
Una vez que el usuario ingresa sus credenciales, se le pide proporcionar un código de autenticación de dos factores (2FA) o se le indica que “espere” mientras se verifica la información proporcionada.
Lookout indica que los atacantes probablemente intentan iniciar sesión usando estas credenciales en tiempo real, luego redirigen a la víctima a la página correcta dependiendo de la información adicional solicitada por el servicio de MFA al que están intentando acceder.
Este kit de phishing también busca dar una ilusión de credibilidad al permitir que el operador personalice la página de phishing en tiempo real proporcionando los últimos dos dígitos del número de teléfono real de la víctima y seleccionando si se debe pedir al usuario un token de seis o siete dígitos.
El código de un solo uso (OTP) ingresado por el usuario es luego capturado por el actor de la amenaza, quien lo usa para iniciar sesión en el servicio en línea deseado utilizando el token proporcionado. En el siguiente paso, la víctima puede ser dirigida a cualquier página de la elección del atacante, incluida la página de inicio de sesión legítima de Okta o una página que muestre mensajes personalizados.
Lookout ha señalado que esta campaña comparte similitudes con la de Scattered Spider, específicamente en su suplantación de Okta y el uso de dominios previamente identificados como afiliados al grupo. Sin embargo, hay capacidades e infraestructura de C2 significativamente diferentes dentro del kit de phishing. Esta imitación es común entre los grupos de actores de amenazas, especialmente cuando una serie de tácticas y procedimientos han tenido tanto éxito público.
Actualmente, no está claro si este es el trabajo de un solo actor de amenazas o una herramienta común utilizada por diferentes grupos.
La combinación de URLs de phishing de alta calidad, páginas de inicio de sesión que coinciden perfectamente con el aspecto y la sensación de los sitios legítimos, un sentido de urgencia y una conexión consistente a través de SMS y llamadas de voz ha contribuido al éxito de los actores de amenazas en la recolección de datos de alta calidad.
El descubrimiento coincide con la revelación de Fortra de que las instituciones financieras de Canadá han sido blanco de un nuevo grupo de phishing llamado LabHost, que ha superado a su rival Frappo en popularidad en 2023.
LabHost realiza sus ataques de phishing a través de una herramienta de gestión de campañas en tiempo real llamada LabRat, que permite realizar ataques de adversario en el medio (AiTM) y capturar credenciales y códigos 2FA.
El actor de amenazas también ha desarrollado una herramienta de spam SMS llamada LabSend que proporciona un método automatizado para enviar enlaces a las páginas de phishing de LabHost, lo que permite a los clientes de LabHost lanzar campañas de smishing a gran escala.
Las herramientas de LabHost permiten a los actores de amenazas dirigirse a una variedad de instituciones financieras con características que van desde plantillas listas para usar hasta herramientas de gestión de campañas en tiempo real y señuelos de SMS.
Fuente:https://thehackernews.com/2024/03/new-phishing-kit-leverages-sms-voice.html