En phishing-kampagne er i gang for at omgå multifaktorautentificering og få adgang til konti på Coinbase, MetaMask, Crypto.com og KuCoin og stjæle kryptokurrency.
Hackerne misbruger Microsoft Azure Web Apps-tjenesten til at være vært for et netværk af phishing-websteder og lokke ofre til dem via phishing-meddelelser, der efterligner falske transaktionsbekræftelsesanmodninger eller registrering af mistænkelig aktivitet.
For eksempel foregav en af de phishing-e-mails, der blev set i angrebene, at være fra Coinbase, som siger, at de låste kontoen på grund af mistænkelig aktivitet.
Når målene besøger phishing-webstedet, præsenteres de for et chatvindue, der angiveligt er til ‘kundesupport’, kontrolleret af en svindler, der leder besøgende gennem en flertrins bedrageriproces.
PIXM har sporet denne kampagne siden 2021, da trusselsgruppen kun målrettede Coinbase. For nylig bemærkede PIXMs analytikere en udvidelse i kampagnens målretningsomfang til at omfatte MetaMask, Crypto.com og KuCoin.
Omgåelse af 2FA
Den første fase af angrebet på de falske phishing-websteder til kryptoudveksling involverer en falsk loginformular efterfulgt af en tofaktorautentificeringsprompt.
Uanset de legitimationsoplysninger, der er indtastet i løbet af denne fase, vil de stadig blive stjålet af trusselsaktørerne. Siden fortsætter derefter til en prompt, der beder om den 2FA-kode, der er nødvendig for at få adgang til kontoen.
Angriberne prøver de indtastede legitimationsoplysninger på det legitime websted, hvilket udløser afsendelse af en 2FA-kode til offeret, som derefter indtaster en gyldig 2FA på phishing-webstedet.
Hackerne forsøger derefter at bruge den indtastede 2FA-kode til at logge ind på offerets konto, så længe de handler, før timeren løber tør.
Det skal bemærkes, at MetaMask phishing-angrebene er rettet mod gendannelsessætninger snarere end legitimationsoplysninger eller 2FA-koder.
Chatter med svindlere
Uanset om en 2FA-kode fungerer, siger forskerne, at svindlerne udløser det næste angrebstrin, som er at starte chat-support på skærmen.
Dette gøres ved at vise en falsk fejlmeddelelse om, at kontoen er blevet suspenderet på grund af mistænkelig aktivitet og bede den besøgende om at kontakte support for at løse sagen.
I denne supportchat starter trusselsaktørerne en samtale med det målrettede offer for at holde dem rundt, hvis der er behov for forskellige legitimationsoplysninger, gendannelsessætninger eller 2FA-koder, for at trusselsaktørerne kan logge ind på kontoen.
“De vil bede brugeren om deres brugernavn, adgangskode og 2-faktor-godkendelseskode direkte i chatten,” forklarer den nye PIXM-rapport.
“Den kriminelle vil derefter tage dette direkte til en browser på deres maskine og igen forsøge at få adgang til brugerens konto.”
For succesfuldt brudte konti er offeret stadig engageret i kundesupport, hvis de har brug for at bekræfte pengeoverførsler, mens skurkerne tømmer deres tegnebøger.
For konti, de ikke kan bryde gennem supportchatten, skifter trusselsaktørerne imidlertid til en alternativ metode til at godkende deres enhed som “troværdig” til kryptokurrencyplatformen.
Svindel med fjernadgang
For at overvinde den godkendte enhedshindring overbeviser angriberne offeret om at downloade og installere ‘TeamViewer’ fjernadgangsappen.
Dernæst beder svindlerne ofrene om at logge ind på deres cryptocurrency-tegnebog eller udvekslingskonti, og mens de gør det, tilføjer trusselsaktørerne et tilfældigt tegn i adgangskodefeltet for at forårsage en loginfejl.
Angriberen beder derefter offeret om at indsætte adgangskoden på TeamViewer-chatten, bruger adgangskoden (minus det tilfældige tegn) til at logge ind på deres enhed og snupper derefter enhedens bekræftelseslink, der er sendt til offeret for at godkende deres enhed som betroet.
Når de først har fået adgang til kontoen eller tegnebogen, dræner hackerne det for alle midler, mens de stadig holder offeret engageret i supportchatten.
For at undgå at blive snydt i angreb som disse er det vigtigt altid at være opmærksom på afsenderens e-mail-adresse og eventuelle sendte webadresser.
Hvis disse webadresser ikke matcher kryptovalutaplatformen, skal du straks behandle e-mailen som mistænkelig og slette den.
Desværre, hvis du falder for en af disse svindel, er der intet, som en kryptobørs kan på grund af at gendanne dine midler, når de først er overført fra din tegnebog.
Kilde: BleepingComputers
Foto: Pexels
