Ein neuartiges Phishing-Kit, das die Anmeldeseiten bekannter Kryptowährungsdienste imitiert, zielt in einer als CryptoChameleon bezeichneten Angriffsserie vor allem auf mobile Geräte ab. Dieses Kit ermöglicht Angreifern, exakte Kopien von Single Sign-On (SSO) Seiten zu erstellen und Opfer mittels E-Mail, SMS und Sprach-Phishing dazu zu bringen, Benutzernamen, Passwörter, URLs für Passwort-Reset und sogar Foto-IDs preiszugeben. Laut einem Bericht von Lookout sind hauptsächlich Opfer in den Vereinigten Staaten betroffen, darunter Mitarbeiter der Federal Communications Commission (FCC), Binance, Coinbase sowie Nutzer verschiedener Plattformen wie Binance, Coinbase, Gemini, Kraken, ShakePay, Caleb & Brown und Trezor. Bislang wurden erfolgreich über 100 Opfer ge-phished.

Die Phishing-Seiten sind so gestaltet, dass der gefälschte Anmeldebildschirm erst nach Abschluss eines CAPTCHA-Tests mit hCaptcha angezeigt wird, um zu verhindern, dass automatisierte Analysewerkzeuge die Seiten als betrügerisch markieren. In einigen Fällen werden diese Seiten über unerwünschte Telefonanrufe und Textnachrichten verbreitet, indem sie sich als Kundensupport-Team eines Unternehmens ausgeben, um das Konto nach einem angeblichen Hack zu sichern.

Nach Eingabe der Anmeldedaten werden die Nutzer entweder aufgefordert, einen Zwei-Faktor-Authentifizierungscode (2FA) anzugeben oder zu „warten“, während die bereitgestellten Informationen vermeintlich überprüft werden. Das Phishing-Kit versucht auch, durch die Möglichkeit, die Phishing-Seite in Echtzeit anzupassen, Glaubwürdigkeit vorzutäuschen, indem es die letzten beiden Ziffern der tatsächlichen Telefonnummer des Opfers angibt und auswählt, ob das Opfer nach einem sechs- oder siebenstelligen Token gefragt werden soll.

Das von den Nutzern eingegebene Einmalpasswort (OTP) wird dann vom Angreifer erfasst, der es verwendet, um sich mit dem bereitgestellten Token beim gewünschten Online-Dienst anzumelden. Anschließend kann das Opfer zu einer beliebigen Seite nach Wahl des Angreifers weitergeleitet werden.

Lookout stellte fest, dass die Vorgehensweise von CryptoChameleon Techniken ähnelt, die von Scattered Spider verwendet werden, insbesondere in der Imitation von Okta und der Verwendung von Domains, die zuvor mit der Gruppe in Verbindung gebracht wurden. Es ist derzeit auch unklar, ob dies das Werk eines einzelnen Bedrohungsakteurs ist oder ein gemeinsames Werkzeug, das von verschiedenen Gruppen verwendet wird.

Die Entwicklung kommt zu einer Zeit, in der Fortra enthüllte, dass Finanzinstitutionen in Kanada Ziel einer neuen Phishing-as-a-Service (PhaaS)-Gruppe namens LabHost geworden sind, die 2023 an Beliebtheit zugenommen hat. LabHosts Phishing-Angriffe werden mithilfe eines Echtzeit-Kampagnenmanagement-Tools namens LabRat durchgeführt, das es ermöglicht, einen Angriff mit einem Gegner in der Mitte (AiTM) durchzuführen und Anmeldeinformationen sowie 2FA-Codes zu erfassen.