متسللون يستهدفون لجنة الاتصالات الفيدرالية وشركات العملات المشفرة

يتم استخدام مجموعة تصيد جديدة تسمى CryptoChameleon لاستهداف موظفي لجنة الاتصالات الفيدرالية (FCC)، وذلك باستخدام صفحات تسجيل الدخول الموحد (SSO) المصممة خصيصًا لـ Okta والتي تبدو مشابهة بشكل ملحوظ للنسخ الأصلية.

وتستهدف الحملة نفسها أيضًا المستخدمين والموظفين في منصات العملات المشفرة، مثل Binance وCoinbase وKraken وGemini، باستخدام صفحات التصيد التي تنتحل شخصية Okta وGmail وiCloud وOutlook وTwitter وYahoo وAOL.
يقوم المهاجمون بتنظيم هجوم معقد للتصيد الاحتيالي والهندسة الاجتماعية يتكون من البريد الإلكتروني والرسائل النصية القصيرة والتصيد الصوتي لخداع الضحايا لإدخال معلومات حساسة على صفحات التصيد، مثل أسماء المستخدمين وكلمات المرور الخاصة بهم، وفي بعض الحالات، حتى معرفات الصور.

تشبه عملية التصيد الاحتيالي التي اكتشفها الباحثون في Lookout حملة Oktapus لعام 2022 التي أجرتها مجموعة القرصنة Scattered Spider، لكن لا توجد أدلة كافية على إسنادها بشكل موثوق.

هجوم الهندسة الاجتماعية متعدد الجوانب
يقوم ممثلو التهديد بإعداد الهجوم من خلال تسجيل النطاقات التي تشبه إلى حد كبير تلك الخاصة بالكيانات الشرعية. في حالة لجنة الاتصالات الفيدرالية (FCC)، قاموا بإنشاء "fcc-okta[.]com،" والذي يختلف بحرف واحد فقط عن صفحة Okta الشرعية لتسجيل الدخول الفردي الخاصة بلجنة الاتصالات الفيدرالية (FCC).

يمكن للمهاجمين الاتصال بالهدف أو إرسال بريد إلكتروني إليه أو إرسال رسالة نصية قصيرة إليه، متظاهرين بأنهم دعم العملاء، وتوجيههم إلى موقع التصيد الاحتيالي "لاستعادة" حساباتهم.

بالنسبة إلى Coinbase، تظاهرت النصوص بأنها تحذيرات بشأن تنبيهات تسجيل الدخول المشبوهة، وتوجيه المستخدمين إلى صفحات التصيد، كما هو موضح أدناه.
يُطلب من الضحايا الذين يصلون إلى موقع التصيد الاحتيالي حل تحدي CAPTCHA، والذي يقول Lookout إنه يعمل على تصفية الروبوتات وإضافة الشرعية إلى عملية التصيد الاحتيالي.

أولئك الذين يجتازون هذه الخطوة يواجهون صفحة تصيد مصممة جيدًا تظهر كنسخة طبق الأصل من موقع تسجيل الدخول الأصلي الخاص بـ Okta.
تمكنهم مجموعة التصيد التي ينشرها مجرمو الإنترنت من التفاعل مع الضحايا في الوقت الفعلي لتسهيل سيناريوهات مثل طلب مصادقة إضافية في حالة الحاجة إلى رموز المصادقة متعددة العوامل (MFA) للاستيلاء على حساب الهدف.

تسمح اللوحة المركزية التي تتحكم في عملية التصيد الاحتيالي للمهاجمين بتخصيص صفحة التصيد الاحتيالي لتشمل أرقام هاتف الضحية، مما يجعل طلبات الرموز المميزة للرسائل النصية القصيرة تبدو مشروعة.

بعد الانتهاء من عملية التصيد الاحتيالي، قد تتم إعادة توجيه الضحية إلى صفحة تسجيل الدخول الفعلية للمنصة أو إلى بوابة مزيفة تشير إلى أن حسابه قيد المراجعة.

يتم استخدام كلا الوجهتين لتقليل الشك من جانب الضحية ومنح المهاجمين مزيدًا من الوقت لاستغلال المعلومات المسروقة.

حفر أعمق
اكتسب موقع Lookout نظرة ثاقبة على الأهداف الإضافية في مجال العملات المشفرة من خلال تحليل أدوات التصيد الاحتيالي والعثور على الإغراءات ذات الصلة.

وتمكن الباحثون أيضًا من الوصول على المدى القصير إلى سجلات الواجهة الخلفية للمهاجم، مما يؤكد أن الحملة قد ولدت تنازلات عالية القيمة.

يوضح Lookout: "يبدو أن المواقع نجحت في التصيد الاحتيالي لأكثر من 100 ضحية، استنادًا إلى السجلات التي تمت ملاحظتها".

"لا تزال العديد من المواقع نشطة وتستمر في التصيد للحصول على مزيد من بيانات الاعتماد كل ساعة."

استخدمت جهات التهديد في المقام الأول Hostwinds وHostinger لاستضافة صفحات التصيد الخاصة بهم في أواخر عام 2023، لكنها تحولت لاحقًا إلى RetnNet ومقرها روسيا، والتي قد توفر فترة تشغيل أطول للمواقع المشبوهة.

لم يتمكن Lookout من تحديد ما إذا كانت مجموعة أدوات التصيد الاحتيالي CryptoChameleon تُستخدم حصريًا من قبل جهة تهديد واحدة أم أنها مستأجرة لمجموعات متعددة.

وبغض النظر عمن يقف وراء هذه المجموعة، فإن طبيعتها المتقدمة واستراتيجية الاستهداف وطرق الاتصال الخاصة بمشغليها والجودة العالية لمواد التصيد الاحتيالي تؤكد التأثير الذي يمكن أن تحدثه هذه المجموعة على المنظمات المستهدفة.

يمكن العثور على قائمة بمؤشرات الاختراق، بما في ذلك خوادم القيادة والتحكم ومواقع التصيد، في أسفل مقالة Lookout.