Un nouveau kit de phishing nommé CryptoChameleon est utilisé pour cibler les employés de la Federal Communications Commission (FCC), en utilisant des pages d’authentification unique (SSO) spécialement conçues pour Okta qui semblent remarquablement similaires aux originaux.

La même campagne cible également les utilisateurs et les employés de plateformes de crypto-monnaie, telles que Binance, Coinbase, Kraken et Gemini, en utilisant des pages de phishing qui se font passer pour Okta, Gmail, iCloud, Outlook, Twitter, Yahoo et AOL.

Hameçonnage de compte Coinbase et Google

Les attaquants orchestrent une attaque complexe de phishing et d’ingénierie sociale consistant en des courriels, des SMS et du phishing vocal pour tromper les victimes en leur faisant entrer des informations sensibles sur les pages de phishing, telles que leurs noms d’utilisateur, mots de passe et, dans certains cas, même des pièces d’identité avec photo.

L’opération de phishing découverte par les chercheurs de Lookout ressemble à la campagne Oktapus 2022 menée par le groupe de piratage Scattered Spider, mais il n’y a pas suffisamment de preuves pour une attribution confiante.

Attaque d’ingénierie sociale à plusieurs volets
Les auteurs de la menace préparent l’attaque en enregistrant d’abord des domaines qui ressemblent étroitement à ceux d’entités légitimes. Dans le cas de la FCC, ils ont créé  » fcc-okta[.] com,  » qui n’est différent que d’un caractère de la page d’authentification unique Okta légitime de la FCC.

Les attaquants peuvent appeler, envoyer un e-mail ou un SMS à la cible, se faisant passer pour le service client, les dirigeant vers le site de phishing pour « récupérer » leurs comptes.

Pour Coinbase, les textes prétendaient être des avertissements concernant des alertes de connexion suspectes, dirigeant les utilisateurs vers des pages de phishing, comme indiqué ci-dessous.

Hameçonnage par SMS (à gauche) et une page d’hameçonnage correspondante (à droite)

Les victimes qui atteignent le site de phishing sont invitées à résoudre un défi CAPTCHA, qui, selon Lookout, sert à la fois à filtrer les robots et à légitimer le processus de phishing.

Ceux qui franchissent cette étape se retrouvent avec une page de phishing bien conçue qui apparaît comme une réplique exacte du véritable site de connexion d’Okta.

Page de phishing FCC (à gauche) et fausse page d’attente (à droite)

Le kit de phishing déployé par les cybercriminels leur permet d’interagir avec les victimes en temps réel pour faciliter des scénarios tels que demander une authentification supplémentaire au cas où des codes d’authentification multifacteur (MFA) seraient nécessaires pour prendre le contrôle du compte de la cible.

Le panneau central contrôlant le processus de phishing permet aux attaquants de personnaliser la page de phishing pour inclure les chiffres du numéro de téléphone de la victime, ce qui rend les demandes de jetons SMS légitimes.

Une fois le processus de phishing terminé, la victime peut être redirigée vers la page de connexion de la plate-forme réelle ou un faux portail indiquant que son compte est en cours d’examen.

Les deux destinations sont utilisées pour réduire les soupçons du côté de la victime et donner aux attaquants plus de temps pour exploiter les informations volées.

Creuser plus profondément
Lookout a obtenu un aperçu des cibles supplémentaires dans l’espace des crypto-monnaies en analysant le kit de phishing et en trouvant les leurres pertinents.

Les chercheurs ont également obtenu un accès à court terme aux journaux d’arrière-plan de l’attaquant, confirmant que la campagne avait généré des compromis de grande valeur.

« Les sites semblent avoir réussi à hameçonner plus de 100 victimes, d’après les journaux observés », explique Lookout.

« De nombreux sites sont toujours actifs et continuent à hameçonner pour obtenir plus d’informations d’identification chaque heure. »

Les auteurs de la menace ont principalement utilisé Hostwinds et Hostinger pour héberger leurs pages de phishing à la fin de 2023, mais sont ensuite passés au RetnNet basé en Russie, ce qui pourrait offrir une période opérationnelle plus longue pour les sites louches.

Lookout n’a pas pu déterminer si le kit de phishing CryptoChameleon est utilisé exclusivement par un seul acteur malveillant ou loué à plusieurs groupes.

Peu importe qui est derrière le kit, sa nature avancée, la stratégie de ciblage et les méthodes de communication de ses opérateurs, ainsi que la haute qualité des matériaux de phishing soulignent l’impact que cela peut avoir sur les organisations ciblées.

Une liste d’indicateurs de compromission, y compris les serveurs de commande et de contrôle et les sites de phishing, se trouve au bas de l’article de Lookout.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *