Ein neuartiges Phishing-Kit wurde beobachtet, das sich als Login-Seiten bekannter Kryptowährungsdienste ausgibt und Teil eines Angriffsclusters ist, der hauptsächlich auf mobile Geräte abzielt. Laut einem Bericht von Lookout ermöglicht dieses Kit Angreifern, exakte Kopien von Single Sign-On (SSO) Seiten zu erstellen und dann eine Kombination aus E-Mail-, SMS- und Sprach-Phishing zu nutzen, um das Ziel dazu zu bringen, Benutzernamen, Passwörter, Passwort-Reset-URLs und sogar Ausweisdokumente von Hunderten von Opfern, hauptsächlich in den USA, zu teilen.
Zu den Zielen des Phishing-Kits gehören Mitarbeiter der Federal Communications Commission (FCC), Binance, Coinbase und Kryptowährungsnutzer verschiedener Plattformen wie Binance, Coinbase, Gemini, Kraken, ShakePay, Caleb & Brown und Trezor. Bislang wurden mehr als 100 Opfer erfolgreich geangelt. Die Phishing-Seiten sind so gestaltet, dass der gefälschte Login-Bildschirm nur angezeigt wird, nachdem das Opfer einen CAPTCHA-Test mit hCaptcha bestanden hat.
In einigen Fällen werden diese Seiten über unerwünschte Telefonanrufe und Textnachrichten verteilt, wobei ein Unternehmensteam unter dem Vorwand der Sicherung des Kontos nach einem angeblichen Hack gefälscht wird. Wenn der Benutzer seine Anmeldeinformationen eingibt, wird er entweder aufgefordert, einen Zwei-Faktor-Authentifizierungscode einzugeben oder aufgefordert, „zu warten“, während behauptet wird, die bereitgestellten Informationen zu überprüfen.
Das Phishing-Kit versucht auch, eine Glaubwürdigkeit vorzutäuschen, indem es dem Betreiber erlaubt, die Phishing-Seite in Echtzeit anzupassen, indem die letzten beiden Ziffern der tatsächlichen Telefonnummer des Opfers angegeben und ausgewählt wird, ob das Opfer nach einem sechs- oder siebenstelligen Token gefragt werden soll. Das vom Benutzer eingegebene Einmalpasswort (OTP) wird dann vom Bedrohungsakteur erfasst, der es verwendet, um sich mit dem bereitgestellten Token bei dem gewünschten Online-Dienst anzumelden. In einem nächsten Schritt kann das Opfer auf jede vom Angreifer gewählte Seite weitergeleitet werden, einschließlich der legitimen Okta-Login-Seite oder einer Seite mit maßgeschneiderten Nachrichten.
Die Entwicklung erfolgt, während Fortra bekannt gab, dass Finanzinstitute in Kanada ins Visier einer neuen Phishing-as-a-Service (PhaaS)-Gruppe namens LabHost geraten sind, die im Jahr 2023 ihren Rivalen Frappo in der Beliebtheit überholt hat. LabHosts Phishing-Angriffe werden durch eine Echtzeit-Kampagnen-Management-Tool namens LabRat durchgeführt, das es ermöglicht, einen Angriff in der Mitte zu inszenieren und Anmeldeinformationen und 2FA-Codes abzufangen. Auch von der Bedrohungsakteur entwickelt ist ein SMS-Spamming-Tool namens LabSend, das eine automatisierte Methode zum Senden von Links zu LabHost-Phishing-Seiten bereitstellt, wodurch es seinen Kunden ermöglicht, in großem Maßstab Smishing-Kampagnen durchzuführen.
„Labor-Host-Dienste ermöglichen es Bedrohungsakteuren, eine Vielzahl von Finanzinstituten mit Funktionen von vorgefertigten Vorlagen über Echtzeit-Kampagnen-Management-Tools und SMS-Ködern ins Visier zu nehmen,“ so das Unternehmen.