Un groupe imitant le groupe Scattered Spider adopte une approche unique pour collecter les identifiants de connexion.

Lookout, Inc., l’entreprise de sécurité cloud axée sur les données, a annoncé aujourd’hui la découverte d’un kit de phishing avancé, CryptoChameleon, qui utilise des tactiques ciblant les plateformes de crypto-monnaies ainsi que la Federal Communications Commission (FCC) des États-Unis via des appareils mobiles. La FCC est l’agence fédérale chargée de réglementer les communications interétatiques et internationales par câble, radio, télévision, satellite et fil, l’équivalent de l’ART en France. Les cibles visées sont principalement des utilisateurs de cryptomonnaies et de services d’authentification forte d’entreprise (MFA) basés aux États-Unis, ainsi que les employés de Binance et Coinbase. Lookout continue de surveiller tout impact direct en dehors des États-Unis, y compris en Europe. En utilisant le kit de phishing CryptoChameleon, les acteurs malveillants utilisent des messages texte et des appels vocaux pour contacter personnellement la victime afin de créer un sentiment de confiance tout en l’encourageant à suivre les étapes de l’attaque. Cela a entraîné un taux de réussite élevé, conduisant à la collecte de données de qualité, notamment des noms d’utilisateur, des mots de passe, des URL de réinitialisation de mot de passe et même des pièces d’identité avec photo. Les clients de Lookout qui utilisent la Protection contre le Contenu de Phishing (PCP) ont été protégés contre CryptoChameleon.

Ce nouveau kit de phishing imite les techniques utilisées par le groupe de cybercriminels Scattered Spider. Les opérateurs derrière le kit ont réussi à dupliquer avec succès des pages pour des solutions telles que Okta, Outlook et Google, ce qui signifie qu’il pourrait être utilisé pour cibler toute organisation utilisant ces solutions comme fournisseur de SSO. Sur la base des conversations que l’équipe de recherche en sécurité de Lookout a eues avec plusieurs victimes, CryptoChameleon utilise des numéros de téléphone et des sites web qui semblent légitimes et reflètent l’équipe de support d’une véritable entreprise. Bien que CryptoChameleon suive des tactiques similaires, il existe suffisamment de différences pour indiquer que ce n’est probablement pas Scattered Spider qui opère le kit, mais plutôt un autre groupe criminel ou plusieurs acteurs individuels.

Ce type d’attaque est observé et analysé de près par Lookout car il devient de plus en plus répandu. Avec de plus en plus de données d’entreprise résidant dans le cloud et un changement dans la façon dont les utilisateurs interagissent avec ces données, un nombre croissant d’acteurs malveillants exploitent maintenant l’ingénierie sociale en ciblant le téléphone mobile d’un utilisateur pour voler des identifiants qui donnent un accès légitime et immédiat à des données d’entreprise critiques dans le cadre de la chaîne de cyberattaques moderne. Les données de Lookout montrent qu’au cours de chaque trimestre de 2023, entre 23% et 26% des utilisateurs mobiles ont cliqué au moins une fois sur un lien de phishing. Et la découverte de CryptoChameleon représente un autre changement significatif dans l’évolution continue de cette chaîne d’attaques. “Nous constatons une tendance des acteurs motivés financièrement – qui ciblent généralement les fraudes liées aux cryptomonnaies et aux transactions financières directes – à s’attaquer aux entreprises et aux organisations gouvernementales pour obtenir une rançon”, a déclaré David Richardson, vice-président Endpoint & Threat Intelligence chez Lookout. “Nous exhortons les utilisateurs de cryptomonnaies et de SSO, ainsi que les organisations, à prendre des mesures pour protéger leurs appareils, leur travail et leurs données personnelles.”

Points forts de CryptoChameleon:

• Le kit de phishing demande d’abord à la victime de compléter un captcha à l’aide de hCaptcha. Il s’agit d’une tactique qui empêche les outils d’analyse automatisés de parcourir et d’identifier le site de phishing.
• Contrairement aux kits de phishing classiques, qui tentent de collecter rapidement les identifiants, CryptoChameleon est conscient des contrôles de sécurité modernes mis en place par les organisations, tels que l’authentification à facteurs multiples, et permet aux acteurs malveillants de réagir en conséquence.
• Bien que la version de CryptoChameleon ciblant la FCC imite par défaut la page Okta spécifique de la FCC, le kit est capable d’imiter les marques et les processus d’authentification de nombreuses autres entreprises.
• Lookout a également trouvé des pages d’imitation d’Okta ciblant les employés de Binance et Coinbase, mais la majorité des sites semblent cibler les utilisateurs de cryptomonnaies et de services MFA d’entreprise.
• Sur la base des caractéristiques des sites de phishing, les chercheurs de Lookout ont identifié plus de 250 sites de phishing utilisant ce kit, et de nouveaux sites sont découverts chaque jour.
• Depuis la découverte initiale du kit de phishing, Lookout a découvert des preuves que des centaines de victimes ont été touchées par l’attaque.

Les clients de Lookout Mobile Endpoint Security ont été protégés contre ces attaques depuis le début de cette campagne, notamment grâce aux modèles de détection automatiques qui permettent de protéger les terminaux mobiles de nos utilisateurs contre ce type de kit de phishing. Lookout va continuer de suivre les comportements et les techniques générales utilisés par ce groupe criminel et d’autres pour assurer une protection contre les sites supplémentaires utilisant ce kit, et mettra à jour les protections pour les clients de manière automatisée si nécessaire.