Yeni Kimlik Avı Kiti, Kripto Para Kullanıcılarını Hedeflemek için SMS ve Sesli Aramalardan Yararlanıyor
CryptoChameleon kod adlı ve öncelikle mobil cihazları hedef almak üzere tasarlanmış bir saldırı kümesinin parçası olarak tanınmış kripto para hizmetlerinin giriş sayfalarını taklit eden yeni bir kimlik avı kiti gözlemlendi. Lookout tarafından yayınlanan bir raporda,
“Bu kit saldırganların tek oturum açma (SSO) sayfalarının karbon kopyalarını oluşturmalarını, ardından e-posta, SMS ve sesli kimlik avı kombinasyonunu kullanarak hedefi kandırıp çoğu ABD’de olmak üzere yüzlerce kurbanın kullanıcı adlarını, şifrelerini, şifre sıfırlama URL’lerini ve hatta fotoğraflı kimliklerini paylaşmalarını sağlıyor” denildi.
Kripto Para Kullanıcılarını Hedefleyen Saldırılar Devam Ediyor
Kimlik avı kitinin hedefleri arasında Federal İletişim Komisyonu (FCC), Binance, Coinbase çalışanları ve Binance, Coinbase, Gemini, Kraken, ShakePay, Caleb & Brown ve Trezor gibi çeşitli platformların kripto para kullanıcıları yer alıyor. Bugüne kadar 100’den fazla kurban başarılı bir şekilde kimlik avına uğramıştır.
Kimlik avı sayfaları, sahte giriş ekranının yalnızca kurban hCaptcha kullanarak bir CAPTCHA testini tamamladıktan sonra görüntüleneceği şekilde tasarlanmıştır, böylece otomatik analiz araçlarının siteleri işaretlemesini önler. Bazı durumlarda bu sayfalar, sözde bir saldırı sonrasında hesaplarını güvence altına alma bahanesiyle bir şirketin müşteri destek ekibini taklit ederek istenmeyen telefon aramaları ve kısa mesajlar yoluyla dağıtılmaktadır.
Kullanıcı kimlik bilgilerini girdikten sonra ya iki faktörlü kimlik doğrulama (2FA) kodu girmesi isteniyor ya da verilen bilgilerin doğrulanacağı iddia edilirken “beklemesi” isteniyor. Lookout, “Saldırgan muhtemelen bu kimlik bilgilerini kullanarak gerçek zamanlı olarak oturum açmaya çalışır, ardından saldırganın erişmeye çalıştığı MFA hizmeti tarafından hangi ek bilgilerin talep edildiğine bağlı olarak kurbanı uygun sayfaya yönlendirir” dedi.
Kimlik avı kiti ayrıca, operatörün kurbanın gerçek telefon numarasının son iki hanesini sağlayarak ve kurbandan altı veya yedi haneli bir belirteç istenip istenmeyeceğini seçerek kimlik avı sayfasını gerçek zamanlı olarak özelleştirmesine olanak tanıyarak güvenilirlik yanılsaması yaratmaya çalışmaktadır.
Kullanıcı tarafından girilen tek seferlik şifre (OTP) daha sonra tehdit aktörü tarafından ele geçirilir ve tehdit aktörü bunu, sağlanan belirteci kullanarak istenen çevrimiçi hizmette oturum açmak için kullanır. Bir sonraki adımda kurban, meşru Okta oturum açma sayfası veya özelleştirilmiş mesajlar görüntüleyen bir sayfa da dahil olmak üzere saldırganın seçtiği herhangi bir sayfaya yönlendirilebilir. Lookout, CryptoChameleon’un çalışma yönteminin Scattered Spider tarafından kullanılan tekniklere benzediğini, özellikle de Okta’yı taklit ettiğini ve daha önce gruba bağlı olduğu tespit edilen alan adlarını kullandığını söyledi.
Şirket, “URL’ler ve sahte sayfalar Scattered Spider’ın yaratabileceklerine benzese de, kimlik avı kiti içinde önemli ölçüde farklı yetenekler ve C2 altyapısı var” dedi. “Bu tür taklitçilik, özellikle de bir dizi taktik ve prosedür kamuoyunda çok fazla başarı elde ettiğinde, tehdit aktörü grupları arasında yaygındır.” Şu anda bunun tek bir tehdit aktörünün işi mi yoksa farklı gruplar tarafından kullanılan ortak bir araç mı olduğu da net değil.
Lookout, “Yüksek kaliteli kimlik avı URL’leri, yasal sitelerin görünümü ve hissiyle mükemmel bir şekilde eşleşen giriş sayfaları, aciliyet duygusu ve SMS ve sesli aramalar yoluyla tutarlı bağlantı kombinasyonu, tehdit aktörlerinin yüksek kaliteli verileri çalmada bu kadar başarılı olmasını sağlayan şeydir” dedi. Bu gelişme, Fortra’nın Kanada’daki finans kurumlarının LabHost adlı yeni bir hizmet olarak kimlik avı (PhaaS) grubunun hedefi haline geldiğini ve 2023 yılında popülerlik açısından rakibi Frappo’yu geride bıraktığını ortaya koymasıyla birlikte yaşandı.
Kripto Para Kullanıcıları Daha Dikkatli Olmalı
LabHost’un kimlik avı saldırıları, LabRat adlı gerçek zamanlı bir kampanya yönetim aracı aracılığıyla gerçekleştiriliyor ve bu da ortadaki düşman (AiTM) saldırısı düzenlemeyi ve kimlik bilgileri ile 2FA kodlarını ele geçirmeyi mümkün kılıyor. Ayrıca tehdit aktörü tarafından geliştirilen LabSend adlı SMS spam aracı,
LabHost kimlik avı sayfalarına bağlantılar göndermek için otomatik bir yöntem sunarak müşterilerinin geniş ölçekte kimlik avı kampanyaları düzenlemesine olanak tanıyor. Şirket, “LabHost hizmetleri, tehdit aktörlerinin kullanıma hazır şablonlardan, gerçek zamanlı kampanya yönetim araçlarına ve SMS yemlerine kadar çeşitli özelliklerle çeşitli finansal kurumları hedeflemelerine olanak tanıyor” dedi.