La campaña 'CryptoChameleon' apunta a empleados de criptomonedas y la FCC

-
Una campaña de phishing, apodada "CryptoChameleon", que comenzó apuntando a clientes de criptomonedas, ha evolucionado para enfocarse en empleados de Binance, Coinbase y la Comisión Federal de Comunicaciones (FCC).


En una publicación de blog del 29 de febrero, los investigadores de Lookout dijeron que estos empleados son el objetivo y son engañados a través de páginas falsas de inicio de sesión único (SSO) que imitan las páginas reales de Okta SSO en las organizaciones objetivo, de modo que cuando las víctimas caen en la trampa, los atacantes pueden robar credenciales de inicio de sesión, así como datos personales y empresariales.

"Nuestra investigación destaca la tendencia de los actores de amenazas motivados financieramente de pasar de apuntar a consumidores a vulnerar organizaciones empresariales y gubernamentales porque creen que hay una ganancia financiera mayor en estos objetivos", dijo David Richardson, vicepresidente de endpoint y threat intelligence en Lookout.

Richardson dijo que esto presenta claramente una historia de cadena de matanza más amplia que replica técnicas exitosas utilizadas por grupos como Scattered Spider, más conocido por los ciberataques del otoño pasado contra Caesars Entertainment y MGM Resorts International. Desde que Lookout descubrió el kit de phishing, Richardson dijo que su equipo ha visto evidencia de que cientos de víctimas han sido afectadas por el ataque, y aún podríamos ver un impacto más amplio.

"Estos son el mismo tipo de TTPs que hemos visto con Scattered Spider, y han tenido mucho éxito", dijo Richardson. "Usan kits de phishing que son económicos y pueden realizar los mismos tipos de ataques."

Richardson agregó que utilizan la ingeniería social para atraer a las víctimas donde el actor de la amenaza observa el ataque a medida que ocurre. Por lo general, tendrán información de contacto que obtuvieron de la dark web o de una brecha antigua y luego enviarán un mensaje SMS a la víctima de que hay algo mal con su cuenta sin ningún enlace.

"Una vez que la víctima responde, el actor de la amenaza envía un enlace y una vez que el usuario hace clic e inicia sesión en la llamada telefónica, es donde pueden comenzar a pescar credenciales", dijo Richardson. "Lo que separa a estos actores de la amenaza es que tienen hablantes nativos de inglés con habilidades de centro de llamadas muy profesionales."

T. Frank Downs, director sénior de servicios proactivos en BlueVoyant, dijo que estos ataques más recientes reiteran que los hackeos efectivos nunca mueren, simplemente evolucionan. Similar a los vectores de ataque vistos en los últimos cinco a diez años, estos ataques dependen del compromiso activo del individuo con el atacante para tener éxito. Específicamente, Downs dijo que los atacantes dependen de que las víctimas respondan a los alcances iniciales no verificados y no solicitados del atacante para obtener la captura inicial.

"Sin embargo, el ataque no tendrá éxito si la víctima potencial no muerde el anzuelo y se involucra con el atacante", señaló Downs. "Las prácticas para evitar ser víctima de estos tipos de ataques incluyen recordar los principios fundamentales de ciberseguridad. Específicamente, nunca responda a alcances no solicitados sin antes confirmar la solicitud a través de mecanismos alternativos. Además, cualquier solicitud de inicio de sesión único que no haya sido solicitada por el usuario específico debe ser informada a los equipos de seguridad corporativa apropiados."

John Gallagher, vicepresidente de Viakoo Labs, agregó que a medida que las criptomonedas aumentan en valor, también lo harán los esfuerzos de los actores de amenazas para vulnerar cuentas. Lo novedoso de CryptoChameleon es el enfoque detallado en los pasos que tomará una víctima y el uso de operadores humanos manuales para ayudar a engañar a la víctima, dijo Gallagher.

Gallagher también dijo que se preguntaba qué motivación tenía el actor de la amenaza al ir tras los empleados de la FCC.

"Es potencialmente una forma de publicidad por parte del actor de la amenaza de que pueden ser contratados para ayudar a vulnerar agencias federales, y sugiere que, si bien esto podría descartarse como algo relacionado solo con cripto, podría ser la punta del iceberg dirigida a vulnerar organizaciones y no solo cuentas financieras", dijo Gallagher.


Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó un LLM, al ser una traducción automática puede contener errores gramaticales o de otro tipo, me pueden enviar un mensaje.

Comentarios

Publicar un comentario

Entradas más populares de este blog

Falsos sitios de DocuSign y Gitcode propagan NetSupport RAT mediante ataque PowerShell en múltiples etapas

-
Imagen
Cazadores de amenazas están alertando sobre una nueva campaña que utiliza sitios web falsos para engañar a usuarios desprevenidos y hacer que ejecuten scripts maliciosos de PowerShell en sus máquinas, infectándolas con el malware NetSupport RAT. El equipo de Investigaciones de DomainTools (DTI) informó que identificó “scripts PowerShell maliciosos en múltiples etapas” alojados en sitios trampa que se hacen pasar por Gitcode y DocuSign. “Estos sitios intentan engañar a los usuarios para que copien y ejecuten un script inicial de PowerShell desde el comando ‘Ejecutar’ de Windows”, indicó la empresa en un informe técnico compartido con The Hacker News. “Al hacerlo, el script de PowerShell descarga otro script que actúa como descargador y lo ejecuta en el sistema, lo que a su vez recupera cargas útiles adicionales y las ejecuta, instalando finalmente NetSupport RAT en las máquinas infectadas.” Ciberseguridad Se cree que estos sitios falsos se propagan mediante tácticas de ingeniería so...
Leer más

Microsoft Reemplaza Aplicación de Escritorio Remoto por Windows App: Implicaciones en Ciberseguridad

-
Imagen
Microsoft ha anunciado que, a partir del 27 de mayo de 2025, la aplicación Remote Desktop disponible en la Microsoft Store dejará de ser compatible y será reemplazada por la nueva Windows App. Esta transición busca unificar y mejorar las experiencias de escritorio remoto en sus plataformas, pero también plantea consideraciones importantes en términos de ciberseguridad. ​   Mejoras en Seguridad con Windows App La Windows App, lanzada en septiembre de 2024, ofrece varias mejoras significativas en comparación con la antigua aplicación de Escritorio Remoto:​ Acceso Unificado y Seguro : Proporciona acceso consolidado a múltiples servicios de Windows, incluyendo Windows 365, Azure Virtual Desktop y Microsoft Dev Box, desde una interfaz simplificada. Esta unificación reduce la superficie de ataque al centralizar los puntos de acceso. ​ Soporte Multimonitor y Resoluciones Dinámicas : Facilita una experiencia más fluida y adaptable, permitiendo a los usuarios trabajar de manera más efi...
Leer más

El FBI advierte sobre suplantación de correo electrónico por parte del actor de amenazas norcoreano Kimsuky

-
Imagen
El actor de amenazas norcoreano Kimsuky está aprovechando nuevas tácticas de suplantación de correo electrónico en sus recientes campañas de spearphishing, advirtieron conjuntamente el Buró Federal de Investigaciones (FBI), el Departamento de Estado de EE. UU. y la Agencia de Seguridad Nacional (NSA) el jueves en un aviso conjunto . Kimsuky, también conocido como Emerald Sleet o APT43, es una subunidad de la Oficina General de Reconocimiento (RGB) del ejército norcoreano y es conocido por sus campañas de spearphishing destinadas a recopilar inteligencia sobre asuntos que afectan los intereses norcoreanos. Esto incluye información sobre eventos geopolíticos y las estrategias de política exterior de los adversarios de Corea del Norte. El modus operandi del grupo es hacerse pasar por periodistas legítimos, grupos de expertos, académicos y otros expertos en asuntos del este asiático, convenciendo a las víctimas de abrir enlaces o documentos maliciosos bajo el pretexto de ofrecer una entrev...
Leer más