El valor en auge de las criptomonedas como activo, ha propiciado que el ingenio de los ciberdelincuentes se dispare y que desarrollen una nueva estrategia de phishing más sofisticada. Ahora los SMS y las llamadas de voz son empleadas para ejercer un ataque contra dispositivos móviles conocido como ‘CryptoChameleon’.

¿Cómo funciona?

Este nuevo kit de phishing se hace pasar por páginas de inicio de sesión único (SSO) de conocidos servicios de criptomonedas. Trabaja creando copias carbónicas de SSO y luego emplea una combinación de email, SMS y phishing de voz para engañar al objetivo para que comparta nombres de usuario, contraseñas, URL de restablecimiento de contraseña e identificaciones con fotografía de sus víctimas.

Este kit de phishing sofisticado fue detectado a partir de una advertencia reciente de CISA, que detalla que coincidía con un formato común empleado por Scrattered Spider. El dominio en cuestión era fcc-okta[.]com, que es solo un carácter diferente de la página legítima de inicio de sesión único (SSO) de FCC Okta.

Trabaja solicitando a la víctima que complete un captcha con hCaptcha, una técnica novedosa que evita herramientas de análisis automatizadas capaces de identificar el sitio de phishing.

En muchas ocasiones, las páginas se distribuyen mediante llamadas telefónicas y mensajes de texto no solicitados, los cuales suplantan la identidad del equipo de atención al cliente de una empresa.  Una vez que el usuario ingresa sus credenciales, se le solicita un código de autenticación de dos factores (2FA) y verificar la información proporcionada.

A partir de ese momento, el atacante intenta iniciar sesión empleando las credenciales en tiempo real, redirigiendo a continuación a la víctima a la página correspondiente dependiendo de la información adicional solicitada por el servicio MFA al que el atacante quiere acceder.

Un proceso meticuloso

El kit de phishing intenta generar una falsa sensación de credibilidad, pudiendo el operador personalizar la página y proporcionar los dos últimos dígitos del número de teléfono real de la víctima. Posteriormente, el actor de la amenaza captura la contraseña de un solo uso (OPT) ingresada por el propio usuario y emplea el token proporcionado. Se puede dirigir a la víctima a través de cualquier página, incluso la de inicio de sesión de Okta o de mensajes personalizados.

Pese a que las URL y las páginas falsificadas se asemejan a las que podría crear Scattered Spider, existiendo capacidades e infraestructura C2 diferentes dentro del kit de phishing. Es una imitación muy común entre los grupos de actores de amenazas.

Conclusiones de las primeras investigaciones

A día de hoy se desconoce si es fruto del trabajo de un único actor de amenazas o si es una herramienta común empleada por grupos diferentes. Lo que está claro es que la combinación de URL de phishing de alta calidad con páginas de inicio de sesión con apariencia de sitios legítimos, el sentido de urgencia y la conexión mediante SMS y llamadas de voz, ha propiciado el éxito en los robos de datos de alta calidad.

Los principales damnificados

Es un problema que afecta especialmente a EEUU, siendo la Comisión Federal de Comunicaciones (FCC) una de las grandes damnificadas. De igual modo, se enfoca en usuarios de criptomonedas en Binance, Coinbase, Geminis, Kraken, ShakePay, Caleb y Trezor, entre otras plataformas.

También se dirige a servicios de correo electrónico e inicio de sesión único como: AOL, Gmail, iCloud, Okta, Panorama, Gorjeo y Yahoo. En total, se contabilizan más de 100 damnificados hasta la fecha.

Es importante tener en cuenta que hay instituciones financieras de Canadá que se han convertido en el blanco perfecto de este nuevo grupo de phishing como servicio (PhaaS), LabHost. Supera en popularidad a Frappo y sus ataques se basan en una herramienta de gestión de campañas en tiempo real denominada LabRat, que organiza un ataque de adversario en el medio (AiTM) y captura credenciales y códigos 2FA.

Del mismo modo, ha desarrollado una herramienta de spam de SMS denominada LabSed, capaz de proporcionar un método automatizado para enviar enlaces a páginas de phishing de LabHot, permitiendo así a los clientes montar campañas de smishing a gran escala.

Así pues, se consigue que los servicios de LabHost actúen como actores de amenazas que apuntan a un enorme catálogo de instituciones financieras. Todas con características similares, pues hablamos de plantillas listas para usar, herramientas de gestión de campañas en tiempo real y señuelos de SMS.

Protegerse ante el phishing de criptomonedas

Lo primero será determinar si se trata de un enlace seguro y a continuación configurar los ajustes de privacidad para evitar estrategias fraudulentas en redes sociales como Facebook. En cualquier caso, no existe mejor defensa que utilizar un antivirus con protección especial frente al phishing.

Se espera que conforme avanza el tiempo, especialmente gracias a la implementación de la IA, los ataques de phishing dirigidos a usuarios de criptomonedas no solo aumenten, sino que también se perfeccionen.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre