Yeni Kimlik Avı Kiti, Kripto Para Birimi Kullanıcılarını Hedeflemek için SMS ve Sesli Aramalardan Yararlanıyor
Öncelikle mobil cihazları hedeflemek için tasarlanmış CryptoChameleon kod adlı bir saldırı kümesinin parçası olarak tanınmış kripto para birimi hizmetlerinin giriş sayfalarını taklit eden yeni bir kimlik avı kiti gözlemlendi.
Lookout bir raporda, "Bu kit, saldırganların tek oturum açma (SSO) sayfalarının karbon kopyalarını oluşturmasına, ardından hedefi kullanıcı adlarını, şifreleri, şifre sıfırlama URL'lerini ve hatta çoğu Amerika Birleşik Devletleri'ndeki yüzlerce kurbanın fotoğraflı kimliklerini paylaşması için kandırmak için e-posta, SMS ve sesli kimlik avının bir kombinasyonunu kullanmasına olanak tanıyor" dedi.
Kimlik avı kitinin hedefleri arasında Federal İletişim Komisyonu (FCC), Binance, Coinbase çalışanları ve Binance, Coinbase, Gemini, Kraken, ShakePay, Caleb & Brown ve Trezor gibi çeşitli platformların kripto para kullanıcıları yer alıyor. Bugüne kadar 100'den fazla kurban başarılı bir şekilde kimlik avına uğradı.
Kimlik avı sayfaları, sahte giriş ekranının yalnızca kurban hCaptcha kullanarak bir CAPTCHA testini tamamladıktan sonra görüntüleneceği ve böylece otomatik analiz araçlarının siteleri işaretlemesini önleyecek şekilde tasarlanmıştır.
Bazı durumlarda, bu sayfalar, bir şirketin müşteri destek ekibini, sözde bir saldırıdan sonra hesaplarını güvence altına alma bahanesiyle taklit ederek, istenmeyen telefon görüşmeleri ve metin mesajları yoluyla dağıtılır.
Kullanıcı kimlik bilgilerini girdikten sonra, ya iki faktörlü kimlik doğrulama (2FA) kodu sağlamaları istenir ya da sağlanan bilgileri doğruladığını iddia ederken "beklemesi" istenir.
Lookout, "Saldırgan muhtemelen bu kimlik bilgilerini gerçek zamanlı olarak kullanarak oturum açmaya çalışır, ardından saldırganın erişmeye çalıştığı MFA hizmeti tarafından hangi ek bilgilerin istendiğine bağlı olarak kurbanı uygun sayfaya yönlendirir" dedi.
Kimlik avı kiti ayrıca, operatörün kurbanın gerçek telefon numarasının son iki hanesini sağlayarak ve kurbandan altı veya yedi haneli bir jeton istenip istenmeyeceğini seçerek kimlik avı sayfasını gerçek zamanlı olarak özelleştirmesine izin vererek bir güvenilirlik yanılsaması vermeye çalışır.
Kullanıcı tarafından girilen tek seferlik parola (OTP) daha sonra tehdit aktörü tarafından yakalanır ve sağlanan belirteci kullanarak istenen çevrimiçi hizmette oturum açmak için kullanır. Bir sonraki adımda, kurban, meşru Okta oturum açma sayfası veya özelleştirilmiş mesajlar görüntüleyen bir sayfa da dahil olmak üzere saldırganın seçtiği herhangi bir sayfaya yönlendirilebilir.
Lookout, CryptoChameleon'un çalışma tarzının, özellikle Okta'nın kimliğine bürünmesinde ve daha önce gruba bağlı olarak tanımlanan alan adlarının kullanımında Dağınık Örümcek tarafından kullanılan tekniklere benzediğini söyledi.
Şirket, "Dağınık Örümcek'in oluşturabileceğine benzeyen URL'lere ve sahte sayfalara rağmen, kimlik avı kitinde önemli ölçüde farklı yetenekler ve C2 altyapısı var" dedi. "Bu tür taklitçilik, tehdit aktörü grupları arasında yaygındır, özellikle de bir dizi taktik ve prosedür bu kadar çok kamu başarısı gösterdiğinde."
Şu anda bunun tek bir tehdit aktörünün işi mi yoksa farklı gruplar tarafından kullanılan ortak bir araç mı olduğu da net değil.
Lookout, "Yüksek kaliteli kimlik avı URL'leri, meşru sitelerin görünümüne ve hissine mükemmel şekilde uyan giriş sayfaları, aciliyet duygusu ve SMS ve sesli aramalar yoluyla tutarlı bağlantının birleşimi, tehdit aktörlerine yüksek kaliteli verileri çalmada bu kadar başarılı olan şeydir" dedi.
Gelişme, Fortra'nın Kanada'daki finans kurumlarının LabHost adlı yeni bir hizmet olarak kimlik avı (PhaaS) grubunun hedefi altına girdiğini ve 2023'te popülerlik açısından rakibi Frappo'yu geride bıraktığını açıklamasının ardından geldi.
LabHost'un kimlik avı saldırıları, ortadaki bir düşman (AiTM) saldırısı düzenlemeyi ve kimlik bilgilerini ve 2FA kodlarını ele geçirmeyi mümkün kılan LabRat adlı gerçek zamanlı bir kampanya yönetim aracı aracılığıyla gerçekleştirilir.
Ayrıca tehdit aktörü tarafından geliştirilen, LabHost kimlik avı sayfalarına bağlantılar göndermek için otomatik bir yöntem sağlayan ve böylece müşterilerinin smishing kampanyalarını geniş ölçekte oluşturmasına olanak tanıyan LabSend adlı bir SMS spam aracıdır.
Şirket, "LabHost hizmetleri, tehdit aktörlerinin kullanıma hazır şablonlar, gerçek zamanlı kampanya yönetimi araçları ve SMS cazibeleri gibi çeşitli özelliklerle çeşitli finansal kurumları hedeflemesine olanak tanıyor" dedi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Amaçlı NPM Paketleri, SSH Arka Kapısı ile Geliştiricilerin Ethereum Cüzdanlarını Hedef Alıyor
Binance, Kripto Para Kullanıcılarını Hedef Alan Artan Clipper Kötü Amaçlı Yazılım Saldırılarına Karşı Uyardı
Rust Tabanlı P2PInfect Botnet, Madenci ve Fidye Yazılımı Yükleriyle Gelişiyor
ABD, Rusya'nın Yaptırımlardan Kaçmasına Yardım Ettiği İçin 3 Kripto Para Borsasına Yaptırım Uyguladı
Yeni Kimlik Avı Kiti, Kripto Para Birimi Kullanıcılarını Hedeflemek için SMS ve Sesli Aramalardan Yararlanıyor
Kuzey Koreli Bilgisayar Korsanları Kötü Amaçlı NPM Paketleriyle Geliştiricileri Hedef Alıyor
RustDoor macOS Backdoor, Kripto Para Firmalarını Sahte İş Teklifleriyle Hedefliyor
BTC-e ile Bağlantılı Belarus Vatandaşı 4 Milyar Dolarlık Kripto Para Aklama Suçundan 25 Yıl Hapis Cezasıyla Karşı Karşıya