CryptoChameleon, una campagna di phishing mirato alla FCC e alle piattaforme di criptovaluta

Lookout ha recentemente scoperto un kit di phishing avanzato che utilizza tattiche innovative per colpire le piattaforme di criptovalute e la FCC (Federal Communications Commission) tramite dispositivi mobili.

Il kit di phishing

In pratica questo kit consentirebbe di creare copie delle pagine di accesso SSO che utilizzando una combinazione di e-mail, SMS e vishing consentirebbe ai criminali di riuscire ad ingannare la vittima e ottenere nomi utente, password, URL di reimpostazione della password e persino foto di documenti d’identità. Centinaia sarebbero le vittime principalmente negli Stati Uniti.

Flusso di attacco tipico

Il kit di phishing utilizza un dominio fcc-okta[.]com simile alla pagina legittima di FCC Okta Single Sign On (SSO) e chiede alla vittima di completare un captcha utilizzando hCaptcha (un’azione che impedisce agli strumenti di analisi automatizzata di rilevare il sito di phishing).

Fonte Lookout

Una volta completato il captcha, la pagina di accesso che imita la legittima pagina Okta della FCC indirizza la vittima dopo aver inserito le credenziali verso una pagina di attesa. L’attaccante può inoltre monitorare la pagina di phishing tramite una console amministrativa.

Fonte Lookout

Abbiamo potuto constatare che una combinazione di telefonate e messaggi di testo veniva utilizzata per incoraggiare la vittima a completare il processo.“, spiegano gli esperti David Richardson e Savio Lau. “In uno scenario, una vittima ha ricevuto una telefonata non richiesta che ha falsificato la linea di assistenza clienti di una vera azienda[…]. Hanno informato la vittima che il suo account era stato violato, ma che l’avrebbero aiutata a recuperarlo. Mentre la vittima era al telefono con l’autore della minaccia, le è stato inviato un messaggio di testo che la collegava alla pagina di phishing.”

Il kit sarebbe in grado di impersonare diversi marchi aziendali.‍ I ricercatori avrebbero anche trovato pagine di imitazione Okta rivolte a utenti di criptovalute e servizi SSO con Coinbase il servizio preso maggiormente di mira.

Fonte Lookout

L’evoluzione delle tattiche di phishing

Sebbene questo attacco segua tecniche simili a quelle adottate dal gruppo Scattered Spider, (in particolare la registrazione di domini utilizzando il nome dell’azienda -okta.com) i ricercatori non possono dare una attribuzione certa e dire se si tratti di un singolo attore della minaccia o di uno strumento comune utilizzato da gruppi diversi.

Vale la pena notare che appena una settimana fa SentinelOne ha parlato di un’altro kit di phishing (script Python sender sns) che abusa del servizio SNS (Simple Notification Service) di AWS (Amazon Web Services) per inviare massivamente messaggi di testo fraudolenti.

Questi attacchi dimostrano ancora una volta l’evoluzione delle tattiche di phishing e la necessità di vigilare costantemente per proteggere informazioni personali e risorse aziendali.

Su Salvatore Lombardo 192 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.