Actu
Lookout découvre un kit de phishing avancé ciblant les agences fédérales américaines et les plateformes de crypto-monnaies
février 2024 par Lookout
Lookout, Inc.
annonce la découverte d’un kit de phishing avancé, CryptoChameleon, qui utilise
des tactiques ciblant les plateformes de crypto-monnaies ainsi que la Federal Communications
Commission (FCC) des États-Unis via des appareils mobiles. La FCC est l’agence fédérale
chargée de réglementer les communications interétatiques et internationales par câble, radio,
télévision, satellite et fil, l’équivalent de l’ART en France. Les cibles visées sont principalement
des utilisateurs de cryptomonnaies et de services d’authentification forte d’entreprise (MFA)
basés aux États-Unis, ainsi que les employés de Binance et Coinbase. Lookout continue de
surveiller tout impact direct en dehors des États-Unis, y compris en Europe.
En utilisant le kit de phishing CryptoChameleon, les acteurs malveillants utilisent des messages
texte et des appels vocaux pour contacter personnellement la victime afin de créer un sentiment
de confiance tout en l’encourageant à suivre les étapes de l’attaque. Cela a entraîné un taux de
réussite élevé, conduisant à la collecte de données de qualité, notamment des noms
d’utilisateur, des mots de passe, des URL de réinitialisation de mot de passe et même des
pièces d’identité avec photo. Les clients de Lookout qui utilisent la Protection contre le Contenu
de Phishing (PCP) ont été protégés contre CryptoChameleon.
Ce nouveau kit de phishing imite les techniques utilisées par le groupe de cybercriminels
Scattered Spider. Les opérateurs derrière le kit ont réussi à dupliquer avec succès des pages
pour des solutions telles que Okta, Outlook et Google, ce qui signifie qu’il pourrait être utilisé
pour cibler toute organisation utilisant ces solutions comme fournisseur de SSO. Sur la base
des conversations que l’équipe de recherche en sécurité de Lookout a eues avec plusieurs
victimes, CryptoChameleon utilise des numéros de téléphone et des sites web qui semblent
légitimes et reflètent l’équipe de support d’une véritable entreprise. Bien que CryptoChameleon
suive des tactiques similaires, il existe suffisamment de différences pour indiquer que ce n’est
probablement pas Scattered Spider qui opère le kit, mais plutôt un autre groupe criminel ou
plusieurs acteurs individuels.
Ce type d’attaque est observé et analysé de près par Lookout car il devient de plus en plus
répandu. Avec de plus en plus de données d’entreprise résidant dans le cloud et un
changement dans la façon dont les utilisateurs interagissent avec ces données, un nombre
croissant d’acteurs malveillants exploitent maintenant l’ingénierie sociale en ciblant le téléphone
mobile d’un utilisateur pour voler des identifiants qui donnent un accès légitime et immédiat à
des données d’entreprise critiques dans le cadre de la chaîne de cyberattaques moderne. Les
données de Lookout montrent qu’au cours de chaque trimestre de 2023, entre 23% et 26% des
utilisateurs mobiles ont cliqué au moins une fois sur un lien de phishing. Et la découverte de
CryptoChameleon représente un autre changement significatif dans l’évolution continue de cette
chaîne d’attaques.
“Nous constatons une tendance des acteurs motivés financièrement - qui ciblent généralement
les fraudes liées aux cryptomonnaies et aux transactions financières directes - à s’attaquer aux
entreprises et aux organisations gouvernementales pour obtenir une rançon”, a déclaré David
Richardson, vice-président Endpoint & Threat Intelligence chez Lookout. “Nous exhortons les
utilisateurs de cryptomonnaies et de SSO, ainsi que les organisations, à prendre des mesures
pour protéger leurs appareils, leur travail et leurs données personnelles.”
Points forts de CryptoChameleon :
● Le kit de phishing demande d’abord à la victime de compléter un captcha à l’aide de
hCaptcha. Il s’agit d’une tactique qui empêche les outils d’analyse automatisés de
parcourir et d’identifier le site de phishing.
● Contrairement aux kits de phishing classiques, qui tentent de collecter rapidement les
identifiants, CryptoChameleon est conscient des contrôles de sécurité modernes mis en
place par les organisations, tels que l’authentification à facteurs multiples, et permet aux
acteurs malveillants de réagir en conséquence.
● Bien que la version de CryptoChameleon ciblant la FCC imite par défaut la page Okta
spécifique de la FCC, le kit est capable d’imiter les marques et les processus
d’authentification de nombreuses autres entreprises.
● Lookout a également trouvé des pages d’imitation d’Okta ciblant les employés de
Binance et Coinbase, mais la majorité des sites semblent cibler les utilisateurs de
cryptomonnaies et de services MFA d’entreprise.
● Sur la base des caractéristiques des sites de phishing, les chercheurs de Lookout ont
identifié plus de 250 sites de phishing utilisant ce kit, et de nouveaux sites sont
découverts chaque jour.
● Depuis la découverte initiale du kit de phishing, Lookout a découvert des preuves que
des centaines de victimes ont été touchées par l’attaque.
Les clients de Lookout Mobile Endpoint Security ont été protégés contre ces attaques depuis le
début de cette campagne, notamment grâce aux modèles de détection automatiques qui
permettent de protéger les terminaux mobiles de nos utilisateurs contre ce type de kit de
phishing. Lookout va continuer de suivre les comportements et les techniques générales utilisés
par ce groupe criminel et d’autres pour assurer une protection contre les sites supplémentaires
utilisant ce kit, et mettra à jour les protections pour les clients de manière automatisée si
nécessaire.
