Un recente report di Lookout ha rivelato l’emergenza di un nuovo kit di phishing, denominato CryptoChameleon, che imita le pagine di login di noti servizi di criptovalute per prendere di mira principalmente dispositivi mobili. Questo kit consente agli attaccanti di creare copie esatte delle pagine di Single Sign-On (SSO), utilizzando una combinazione di email, SMS e phishing vocale per ingannare gli utenti, inducendoli a condividere username, password, URL per il reset della password e persino documenti di identità fotografici.
Tra gli obiettivi figurano dipendenti della Federal Communications Commission (FCC), Binance, Coinbase, e utenti di varie piattaforme di criptovalute come Gemini, Kraken, ShakePay, Caleb & Brown e Trezor. Ad oggi, più di 100 vittime sono state truffate con successo.
Le pagine di phishing sono progettate per mostrare la falsa schermata di login solo dopo che la vittima ha completato un test CAPTCHA, impedendo così agli strumenti di analisi automatica di segnalare i siti come fraudolenti.
In alcuni casi, queste pagine vengono distribuite tramite chiamate e messaggi non sollecitati, spacciandosi per il team di supporto clienti di un’azienda, con il pretesto di “proteggere” l’account dell’utente dopo un presunto attacco hacker.
Dopo l’inserimento delle credenziali, agli utenti viene chiesto di fornire un codice di autenticazione a due fattori (2FA) o di attendere mentre il sistema verifica le informazioni fornite. Gli attaccanti tentano probabilmente di accedere in tempo reale utilizzando queste credenziali, reindirizzando poi la vittima a una pagina appropriata in base alle informazioni aggiuntive richieste dal servizio MFA.
Il kit di phishing cerca anche di conferire un’illusione di credibilità, permettendo agli operatori di personalizzare la pagina di phishing in tempo reale, fornendo le ultime due cifre del numero di telefono della vittima e scegliendo se chiedere un token a sei o sette cifre.
Il modus operandi di CryptoChameleon ricorda le tecniche utilizzate da Scattered Spider, in particolare nell’imitazione di Okta e nell’uso di domini precedentemente identificati come affiliati al gruppo. Non è chiaro se si tratti del lavoro di un singolo attore minaccioso o di uno strumento comune utilizzato da diversi gruppi.
Questa scoperta segue la rivelazione di un nuovo gruppo di phishing-as-a-service (PhaaS) chiamato LabHost, che si è concentrato sulle istituzioni finanziarie canadesi, superando in popolarità il rivale Frappo nel 2023. LabHost e LabSend, uno strumento di spamming SMS, offrono metodi automatizzati per lanciare campagne di phishing e smishing su larga scala, prendendo di mira una varietà di istituzioni finanziarie.
