概括:
Lookout 最近发现了一种先进的网络钓鱼工具包,该工具包展示了通过移动设备针对加密货币平台以及联邦通信委员会 (FCC) 的新颖策略。遵循Scattered Spider等组织的策略,该套件使攻击者能够构建单点登录 (SSO) 页面的副本,然后使用电子邮件、短信和语音网络钓鱼的组合来诱骗目标共享用户名、密码、密码重置数百名受害者的 URL 甚至照片 ID,其中大多数受害者在美国。
员工目标
美国联邦通信委员会 (FCC)
Binance
Coinbase
加密货币用户位于
Binance
Coinbase
Gemini
Kraken
ShakePay
Caleb & Brown
Trezor
电子邮件/单点登录服务
Binance
Coinbase
Gemini
Kraken
ShakePay
Caleb & Brown
Trezor
FCC钓鱼网站的策略和流程
当我们的自动分析发现一个可疑的新域名注册与 Scattered Spider 使用的通用格式相匹配时,Lookout 首先标记了该网络钓鱼工具包,正如CISA 最近的警告中提到的那样。相关域名为 fcc-okta[.]com,它与合法的 FCC Okta 单点登录 (SSO) 页面仅存在一个字符不同。
该网络钓鱼工具包首先要求受害者使用 hCaptcha 完成验证码。这是一种新颖的策略,可以防止自动分析工具抓取和识别网络钓鱼网站。它还可能给受害者带来可信度的错觉,因为通常只有合法网站才使用验证码。
访问该网站后,用户被要求确认他们是人类
验证码完成后,登录页面会模仿 FCC 的合法 Okta 页面。
目标组织的官方 Okta 页面的非常好的复制品
提供凭据后,受害者可以等待、登录或请求 MFA 令牌。
输入凭据后,受害者将被发送到“加载”页面等待
与试图尽快获取凭据的典型网络钓鱼工具包不同,该工具包似乎了解组织已实施的现代安全控制措施,例如 MFA。
Lookout 研究人员发现,操作员使用一个管理控制台来监控网络钓鱼页面。虽然我们无法直接访问这个控制台,但我们能够访问它的 javascript 和 css 并将其大部分功能组合在一起。每次受害者访问该页面并输入信息时,我们都会观察到表上会填充一个新行。一旦受害者输入他们的用户名和密码,管理员就可以从一长串选项中选择下一步将他们发送到哪里。
攻击者可能尝试使用这些凭据实时登录,然后根据攻击者尝试访问的 MFA 服务请求的附加信息将受害者重定向到适当的页面,例如,他们可以重定向到某个页面要求从其身份验证器应用程序或请求基于 SMS 的令牌的页面提供 MFA 令牌。
操作员可以选择各种可定制的页面,将受害者发送到下一个页面
在某些情况下,当选择一个选项时,系统会提示操作员向受害者提供更详细的信息。例如,在发送基于短信的 MFA 令牌时,运营商可以提供受害者实际电话号码的最后一位数字,并自定义页面是否应要求受害者提供 6 位或 7 位代码,以使其感觉更合法。
系统会提示操作员通过提供电话号码的最后 2 位数字并选择是否要求受害者提供 6 位或 7 位数字令牌来实时定制网络钓鱼页面
接下来,操作员将尝试使用提供的一次性密码 (OTP) 令牌登录。此时,操作员可以将受害者引导至任何页面,例如真正的 Okta 登录页面,或包含针对不同场景定制的消息的特定页面。例如,我们发现一个页面告诉受害者他们的帐户正在接受审核,并尝试稍后在运营商指定的时间登录。
当将受害者发送到一个页面时,操作员会被要求选择一个日期,告诉他们他们的帐户正在接受审查
当我们对 FCC Okta 钓鱼网站进行修改时,该网站被删除并被种族诽谤所取代。
更广泛的网络钓鱼工具包分析
我们还能够调查网络钓鱼工具包,这使我们能够更深入地了解所使用的目标和策略。该套件包含大量对加密货币平台和 SSO 服务的参考。虽然针对 FCC 的套件版本默认模仿 FCC 的特定 Okta 页面,但该套件能够模仿许多不同公司的品牌。
上面的屏幕截图显示了该网络钓鱼工具包冒充 Coinbase 的能力
根据网络钓鱼网站的特征,Lookout 研究人员能够识别使用此网络钓鱼工具包的其他网站。除了本报告底部列出的其他网站之外,大多数网站都使用ficial-server[.]com 的子域作为其 C2。我们还发现了针对 Binance 和 Coinbase 员工的 Okta 假冒页面,但大多数网站似乎针对加密货币和 SSO 服务的用户。Coinbase 是最常见的目标服务。自2月21日起,部分新注册的钓鱼域名使用了新的C2original-backend[.]com的子域名
Lookout 研究人员还能够短暂访问后端日志,我们在其中注意到被盗凭证的质量始终很高。通常,当访问网络钓鱼网站的数据时,其中会充满垃圾数据,这些数据显然不是某人的真实电子邮件地址或密码。然而,这些网站收集的凭据中很大一部分看起来像是合法的电子邮件地址、密码、OTP 令牌、密码重置 URL、驾照照片等。根据观察到的日志,这些网站似乎已成功诱骗了 100 多名受害者。许多网站仍然活跃,并且每小时继续进行网络钓鱼以获取更多凭据。
网络钓鱼工具包中一些值得注意的文件包括:
/js/consts.js 包含命令和控制 (C2) 服务器的 URL
/js/init.js 包含用于重定向受害者和收集网络钓鱼数据的客户端逻辑
/css/ 包含用于模拟网站的样式表
网络钓鱼网站已部署在各种托管网络上。2023年11月和12月,Hostwinds和Hostinger是网络犯罪分子的主要网络选择。然而,在 2024 年 1 月和 2 月,大多数网站托管在俄罗斯的 RetnNet 上,IP 地址为 213.178.155[.]194。一般来说,与其他托管网络相比,RetnNet 上托管的网站在线时间似乎更长。该 IP 一直活跃到 2 月 17 日,之后网络犯罪分子转移到 QWARTA LLC 托管服务上的新 IP 185.12.127[.]233。2 月 22 日,网络犯罪分子转移到 OOO Westcall Ltd 上的另一个 IP 81.94.159[.]46
观察到的传递机制
我们还能够直接与一些受害者交谈,通过这样做,我们能够确定电话和短信的组合被用来鼓励受害者完成该过程。在一种情况下,受害者接到一个未经请求的电话,该电话欺骗了真实公司的客户支持热线。线路另一端的人是威胁行为者,但听起来像是该公司支持团队的成员。他们告诉受害者,他们的帐户已被黑客入侵,但他们会帮助他们恢复帐户。当受害者与威胁行为者通电话时,他们会收到一条短信,将他们链接到网络钓鱼页面。
受害者提供的一条短信,提醒他们的帐户已被黑客入侵(事实并非如此),并点击网络钓鱼链接来恢复帐户
当威胁行为者仍在与受害者通电话时,他们鼓励他们并帮助他们完成这些步骤。作为建立信誉和信任的一种方式,该演员始终指出,据称访问该帐户的未经授权的设备位于犹他州盐湖城。短信、电话和网络钓鱼页面本身(可自定义以显示不同的设备类型或位置)都提到了这一点。
该网络钓鱼工具包包含通过电话和短信向受害者讲述的故事的具体参考内容
当将受害者引导至上述页面时,操作员可以选择要在页面上显示的设备类型和位置
当我们要求受害者描述电话另一端的人时,他们形容对方听起来“美国人”、“口才很好”并且“具有专业的呼叫中心沟通技巧”。
我们相信,高质量的网络钓鱼 URL、与合法网站的外观和风格完美匹配的登录页面、紧迫感以及通过短信和语音通话保持一致的连接相结合,使得威胁行为者能够如此成功地窃取高额信息。质量数据。
仔细查看日志,大多数看似合法的受害者数据都来自 iOS 和 Android 设备,这表明攻击主要针对移动设备。绝大多数受害者都在美国。
归因
这种攻击采用与分散蜘蛛类似的技术,特别是模仿 Okta、使用公司名称-okta.com 注册域名以及同形文字交换。同形文字交换的一个示例是交换大写 Is 和小写 L,使 AcmeInc.com(大写 I)看起来与 Acmelnc.com 相同(小写 L 代替大写 I)。过去已知所使用的一个域名 (binance-okta[..]com) 隶属于 Scattered Spider 。
尽管与分散蜘蛛有相似之处,但有足够的差异表明这可能不是由该组织操作的。例如,尽管 URL 和欺骗页面看起来与 Scattered Spider 可能创建的类似,但网络钓鱼工具包中的功能和 C2 基础设施却存在显着不同。这种类型的模仿在威胁行为者团体中很常见,尤其是当一系列策略和程序在公众中取得了如此大的成功时。
目前尚不清楚这是单个威胁行为者还是许多不同组织使用的通用工具。然而,我们的团队在各个网络钓鱼站点中发现的后端 C2 服务器和测试数据有许多相似之处。
保护
基于之前攻击的相似性和相似的基础设施,自 2024 年 1 月我们识别出此威胁发起者之前起,Lookout 客户就已受到保护,免受这些网络钓鱼网站的侵害。我们一直在跟踪一般行为和技术,以确保防止其他使用此攻击的网站套件并将根据需要继续通过自动化方式更新保护措施。
妥协指标
命令和控制服务器
official-server[.]com
server694590423[.]tech
island-placid-bromine.glitch[.]me
circular-noon-farmhouse.glitch[.]me
talented-friendly-price.glitch[.]me
dflfmgsdokasdcpl[.]com
original-backend[.]com
网络钓鱼网站
07159889-coinbase[.]com
10195-coinbase[.]com
11246-coinbase[.]com
11247-coinbase[.]com
11248-coinbase[.]com
11258-coinbase[.]com
11259-coinbase[.]com
113912-coinbase[.]com
11472-coinbase[.]com
11923-coinbase[.]com
11957-coinbase[.]com
128147-coinbase[.]com
12958-coinbase[.]com
12984-okta[.]com
12985-coinbase[.]com
13130-coinbase[.]com
13247-coinbase[.]com
13247-icloud[.]com
13267-coinbase[.]com
146271510-coinbase[.]com
146282-coinbase[.]com
146284-coinbase[.]com
147260-coinbase[.]com
14765-coinbase[.]com
14817582-coinbase[.]com
14871904-coinbase[.]com
14891902-coinbase[.]com
1492864-coinbase[.]com
158312-coinbase[.]com
158372-coinbase[.]com
158702-coinbase[.]com
16171675-coinbase[.]com
16171832-coinbase[.]com
16178234-coinbase[.]com
16178237-coinbase[.]com
16178434-coinbase[.]com
162178-coinbase[.]com
162478-coinbase[.]com
162782-coinbase[.]com
162812-coinbase[.]com
162814-coinbase[.]com
16442580-coinbase[.]com
16450107-coinbase[.]com
16450207-coinbase[.]com
16458207-coinbase[.]com
16478202-coinbase[.]com
164872942-coinbase[.]com
16590-coinbase[.]com
16594373-coinbase[.]com
16624831-coinbase[.]com
16642124-coinbase[.]com
16642172-coinbase[.]com
16642580-coinbase[.]com
16642721-coinbase[.]com
16642724-coinbase[.]com
16642871-coinbase[.]com
16642872-coinbase[.]com
16712942-coinbase[.]com
16718672-coinbase[.]com
16728342-coinbase[.]com
16728348-coinbase[.]com
16728442-coinbase[.]com
16728472-coinbase[.]com
167285-coinbase[.]com
16729042-coinbase[.]com
16748272-coinbase[.]com
16782942-coinbase[.]com
16827420-coinbase[.]com
16827423-coinbase[.]com
16847145-coinbase[.]com
16893924-coinbase[.]com
17182-coinbase[.]com
17255030-coinbase[.]com
17259-kraken[.]com
172486-coinbase[.]com
17284652-coinbase[.]com
17286-coinbase[.]com
17334522-coinbase[.]com
17334522-kraken[.]com
17384522-coinbase[.]com
173912-coinbase[.]com
17494976-coinbase[.]com
17512854-coinbase[.]com
17512857-coinbase[.]com
1751954-coinbase[.]com
17525030-coinbase[.]com
17529580-coinbase[.]com
17614-coinbase[.]com
17618412-coinbase[.]com
17619-coinbase[.]com
176284-coinbase[.]com
17823920-coinbase[.]com
178253-coinbase[.]com
178294-coinbase[.]com
17912-coinbase[.]com
17914-coinbase[.]com
17917-coinbase[.]com
17954-coinbase[.]com
17958-coinbase[.]com
182043-coinbase[.]com
18275-gemini[.]com
18276-coinbase[.]com
18290185-coinbase[.]com
182967-coinbase[.]com
18560-coinbase[.]com
18571-coinbase[.]com
185912-coinbase[.]com
185914-coinbase[.]com
18592176-coinbase[.]com
18594162-coinbase[.]com
18594962-coinbase[.]com
18597162-coinbase[.]com
18719562-coinbase[.]com
1875290-coinbase[.]com
1882730-coinbase[.]com
18902-coinbase[.]com
18903-coinbase[.]com
189126-coinbase[.]com
18952-coinbase[.]com
192854-coinbase[.]com
192856-coinbase[.]com
19287-binance[.]com
19572-coinbase[.]com
195812-coinbase[.]com
195826-coinbase[.]com
1958262-coinbase[.]com
195827-binance[.]com
1958297-coinbase[.]com
19582970-coinbase[.]com
19582971-coinbase[.]com
19583-coinbase[.]com
19592653-coinbase[.]com
197304-coinbase[.]com
19730492-coinbase[.]com
19764162-coinbase[.]com
19803-coinbase[.]com
201784289-coinbase[.]com
210823644-coinbase[.]com
21158-coinbase[.]com
21509-coinbase[.]com
25985-coinbase[.]com
27699-coinbase[.]com
28367-coinbase[.]com
28676-coinbase[.]com
29185-coinbase[.]com
29195-coinbase[.]com
2a-coinbase[.]com
2b-coinbase[.]com
2c-coinbase[.]com
2f-coinbase[.]com
2fas-coinbase[.]com
2o-coinbase[.]com
2r-coinbase[.]com
2s-coinbase[.]com
2sv-coinbase[.]com
352134951-coinbase[.]com
38468-coinbase[.]com
39590-coinbase[.]com
41260-coinbase[.]com
427883-coinbase[.]com
43017-coinbase[.]com
47562-coinbase[.]com
50195-coinbase[.]com
5247-coinbase[.]com
54765-coinbase[.]com
57197-coinbase[.]com
58176-coinbase[.]com
58297-coinbase[.]com
61250-coinbase[.]com
61835-coinbase[.]com
61851-coinbase[.]com
61937-coinbase[.]com
71925-coinbase[.]com
72957-coinbase[.]com
72985-coinbase[.]com
74651-coinbase[.]com
754668948-coinbase[.]com
76159869-coinbase[.]com
76153-coinbase[.]com
81758-coinbase[.]com
81920-coinbase[.]com
81926-coinbase[.]com
81958-coinbase[.]com
826298-coinbase[.]com
83216-coinbase[.]com
837613-coinbase[.]com
83956-coinbase[.]com
87157-coinbase[.]com
87312-coinbase[.]com
89304-coinbase[.]com
89375-coinbase[.]com
91723-gemini[.]com
91752-coinbase[.]com
91756-coinbase[.]com
91782-coinbase[.]com
91835-coinbase[.]com
91845-coinbase[.]com
91923-coinbase[.]com
92758-coinbase[.]com
948122061-coinbase[.]com
978941-coinbase[.]com
accountrecovery-coinbase[.]com
action-shakepay[.]com
adjust-coinbase[.]com
admin-kraken[.]com
applechargebacks[.]com
authenticate-gemini[.]com
authorize-gmail[.]com
binance-okta[.]com
captcha-coinbase[.]com
cd-coinbase[.]com
coinbase-heip[.]com
coinbase-live[.]support
coinbase-reject[.]com
coinbase-ticket[.]com
coinbaseheip[.]com
com-2fa[.]help
com-2fa[.]support
com-3845[.]support
com-connect[.]help
com-fraud[.]support
com-help[.]support
com-reset[.]help
com-reset[.]net
com-ticket[.]live
com-ticket[.]support
contact-nexo[.]com
convert-coinbase[.]com
customerservice-coinbase[.]com
default-coinbase[.]com
defend-coinbase[.]com
deny-coinbase[.]com
disconnect-coinbase[.]com
escalate-coinbase[.]com
establish-coinbase[.]com
fcc-okta[.]com
fraudulent-coinbase[.]com
guard-apple[.]com
guard-icloud[.]com
guardian-coinbase[.]com
guide-gemini[.]com
help-bitfinex[.]com
help-shakepay[.]com
helpdesk-apple[.]com
helpdesk-gemini[.]com
helpdesk-icloud[.]com
identification-coinbase[.]com
lockdown-coinbase[.]com
login-nexo[.]com
keys-coinbase[.]com
messages-coinbase[.]com
newpassword-coinbase[.]com
prompt-coinbase[.]com
protect-apple[.]com
protect-coinbase[.]com
protect-gmail[.]com
protect-kraken[.]com
recoverme-coinbase[.]com
recoveryportal-coinbase[.]com
refunds-coinbase[.]com
reset-okta[.]com
restore-coinbase[.]com
return-coinbase[.]com
reverts-coinbase[.]com
secure-binance[.]us
secure-icloud[.]com
secure-nexo[.]com
secure-shakepay[.]com
security-umusic[.]com
server694590423[.]tech
session-coinbase[.]com
startrecovery-coinbase[.]com
signin-kraken[.]com
suite-trezor[.]io
supportportal-coinbase[.]com
tech-icloud[.]com
threat-coinbase[.]com
ticket-apple[.]com
ticket-coinbase[.]com
tickets-apple[.]com
tokens-coinbase[.]com
unblock-coinbase[.]com
unlink-coinbase[.]com
your-coinbase[.]com
welcome-coinbase[.]com
www-coinbasewallet[.]com
www-help-coinbase[.]com
www-help-gemini[.]com
参考链接: https://www.lookout.com/threat-intelligence/article/cryptochameleon-fcc-phishing-kit
图片来源网络目标可联系删除