Hackers miram FCC, empresas de criptomoedas em ataques avançados de phishing Okta
4 de Março de 2024

Um novo kit de phishing chamado CryptoChameleon está sendo usado para atacar funcionários da Federal Communications Commission (FCC), usando páginas de login único (SSO) especificamente criadas para a Okta que são surpreendentemente semelhantes às originais.

A mesma campanha também visa usuários e funcionários de plataformas de criptomoedas, como Binance, Coinbase, Kraken e Gemini, usando páginas de phishing que se passam por Okta, Gmail, iCloud, Outlook, Twitter, Yahoo e AOL.

Os invasores organizam um ataque complexo de phishing e engenharia social consistindo em email, SMS e phishing por voz para enganar as vítimas a inserirem informações sensíveis nas páginas de phishing, como seus nomes de usuário, senhas e, em alguns casos, até mesmo identificações com foto.

A operação de phishing descoberta pelos pesquisadores da Lookout se assemelha à campanha Oktapus de 2022 conduzida pelo grupo de hackers Scattered Spider, mas não há evidências suficientes para uma atribuição confiante.

Os agentes de ameaças preparam o ataque registrando primeiramente domínios que se assemelham muito aos de entidades legítimas.

No caso da FCC, eles criaram "fcc-okta [.] com", que é diferente por um único caractere da página de login único legítima da FCC.

Os invasores podem ligar, enviar e-mail ou SMS para o alvo, fingindo ser suporte ao cliente, direcionando-os para o site de phishing para "recuperar" suas contas.

Para a Coinbase, as mensagens fingiam ser alertas sobre login suspeito, direcionando os usuários para páginas de phishing, conforme mostrado abaixo.

As vítimas que acessam o site de phishing são incentivadas a resolver um desafio CAPTCHA, que a Lookout diz servir tanto para filtrar bots quanto para adicionar legitimidade ao processo de phishing.

Os que passam por essa etapa são recebidos com uma página de phishing bem projetada que parece ser uma réplica exata do site genuíno de login da Okta.

O kit de phishing implantado pelos criminosos cibernéticos permite que eles interajam com as vítimas em tempo real para facilitar cenários como pedir autenticação adicional no caso de códigos de autenticação multifator (MFA) serem necessários para assumir a conta do alvo.

O painel central que controla o processo de phishing permite que os invasores personalizem a página de phishing para incluir os dígitos do número de telefone da vítima, fazendo com que as solicitações de token por SMS pareçam legítimas.

Após o processo de phishing ser concluído, a vítima pode ser redirecionada para a página de login da plataforma real ou um portal falso que afirma que sua conta está em revisão.

Ambos os destinos são usados para reduzir desconfiança do lado da vítima e dar aos invasores mais tempo para explorar as informações roubadas.

Lookout obteve visão sobre os alvos adicionais no espaço de criptomoeda analisando o kit de phishing e encontrando as iscas relevantes.

Os pesquisadores também obtiveram acesso de curto prazo aos logs do back-end do invasor, confirmando que a campanha gerou comprometimentos de alto valor.

"Os sites parecem ter pescado com sucesso mais de 100 vítimas, com base nos logs observados", explica a Lookout.

"Muitos dos sites ainda estão ativos e continuam a pescar mais credenciais a cada hora."

Os agentes de ameaças usaram principalmente Hostwinds e Hostinger para hospedar suas páginas de phishing em 2023, mas depois mudaram para a RetnNet baseada na Rússia, que pode oferecer um período operacional mais longo para sites obscuros.

A Lookout não conseguiu determinar se o kit de phishing CryptoChameleon é usado exclusivamente por um único agente de ameaças ou alugado para vários grupos.

Independentemente de quem está por trás do kit, sua natureza avançada, a estratégia de direcionamento e os métodos de comunicação de seus operadores, e a alta qualidade dos materiais de phishing destacam o impacto que isso pode ter nas organizações atingidas.

Uma lista de indicadores de comprometimento, incluindo servidores de comando e controle e sites de phishing, pode ser encontrada no final do artigo da Lookout.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...