Çok faktörlü kimlik doğrulamasını atlamak ve Coinbase, Metamask, Crypto.com ve Kucoin ve Kriptoure çalmak için hesaplara erişmek için bir kripto-onaylayan kimlik avı kampanyası devam etmektedir.
Tehdit oyuncusu, kimlik avı siteleri ağına ev sahipliği yapmak ve sahte işlem onay taleplerini veya şüpheli etkinlik algılamasını taklit eden kimlik avı mesajlarıyla kurbanları cezbetmek için Microsoft Azure Web Uygulamaları hizmetini kötüye kullanıyor.
Örneğin, saldırılarda görülen kimlik avı e -postalarından biri, şüpheli etkinlik nedeniyle hesabı kilitlediklerini söyleyen Coinbase'den geliyormuş gibi görünüyordu.
Hedefler kimlik avı sitesini ziyaret ettiğinde, ziyaretçileri çok aşamalı bir dolandırıcı süreçle yönlendiren bir dolandırıcı tarafından kontrol edilen 'müşteri desteği' için bir sohbet penceresi sunulur.
PIXM, tehdit grubunun sadece Coinbase'i hedeflediği 2021'den beri bu kampanyayı izliyor. Son zamanlarda, PIXM analistleri, kampanyanın hedefleme kapsamında Metamask, Crypto.com ve Kucoin'i içerecek bir genişleme fark ettiler.
Sahte kripto borsası kimlik avı sitelerindeki saldırının ilk aşaması, sahte bir giriş formu ve ardından iki faktörlü bir kimlik doğrulama istemini içerir.
Bu aşamada girilen kimlik bilgilerinden bağımsız olarak, tehdit aktörleri tarafından hala çalınacaklar. Sayfa daha sonra hesaba erişmek için gereken 2FA kodunu isteyen bir istem için ilerler.
Saldırganlar, meşru web sitesinde girilen kimlik bilgilerini dener ve kurbana 2FA kodunun gönderilmesini tetikler ve daha sonra kimlik avı sitesinde geçerli bir 2FA girer.
Tehdit aktörleri daha sonra, zamanlayıcı bitmeden önce hareket ettikleri sürece kurbanın hesabına giriş yapmak için girilen 2FA kodunu kullanmaya çalışırlar.
Metamask kimlik avı saldırılarının kimlik bilgileri veya 2FA kodları yerine kurtarma ifadelerini hedeflediğine dikkat edilmelidir.
Bir 2FA kodunun işe yarayıp yaramadığına bakılmaksızın, araştırmacılar dolandırıcıların bir sonraki saldırı aşamasını tetiklediğini, bu da ekrandaki sohbet desteğini başlatacak.
Bu, şüpheli etkinlik nedeniyle hesabın askıya alındığını ve ziyaretçiden konuyu çözmek için desteğe başvurmasını isteyen sahte bir hata mesajı görüntüleyerek yapılır.
Bu destek sohbetinde, tehdit aktörleri, tehdit aktörlerinin hesaba giriş yapması için farklı kimlik bilgileri, kurtarma cümleleri veya 2FA kodları olması durumunda hedeflenen kurbanla onları etrafta tutmak için bir konuşma başlatır.
Yeni PIXM raporunu, "Kullanıcıyı doğrudan sohbette kullanıcı adı, şifre ve 2 faktörlü kimlik doğrulama kodlarını isteyecekler."
"Suçlu daha sonra bunu doğrudan makinelerindeki bir tarayıcıya götürecek ve tekrar kullanıcılar hesabına erişmeye çalışacaktır."
Başarılı bir şekilde ihlal edilen hesaplar için, kurban, dolandırıcılar cüzdanlarını boşaltırken fon transferlerini onaylaması gerektiğinde hala müşteri desteği ile meşgul.
Bununla birlikte, destek sohbeti ile ihlal edemezler, tehdit aktörleri, kripto para birimi platformu için cihazlarını "güvenilir" olarak doğrulamak için alternatif bir yönteme geçer.
Kimlik doğrulamalı cihaz engelinin üstesinden gelmek için saldırganlar kurbanı 'TeamViewer' uzaktan erişim uygulamasını indirmeye ve yüklemeye ikna eder.
Daha sonra, dolandırıcılar kurbanlardan kripto para birimi cüzdanlarına veya hesap alışverişi hesaplarına giriş yapmalarını ister ve bunu yaparken, tehdit aktörleri, giriş hatasına neden olmak için şifre alanına rastgele bir karakter ekler.
Saldırgan daha sonra kurbandan TeamViewer sohbetine şifreyi yapıştırmasını ister, cihazlarına giriş yapmak için şifreyi (rastgele karakter eksi) kullanır ve ardından cihazlarını güvenilir olarak doğrulamak için kurbana gönderilen cihaz onay bağlantısını kapar.
Hesaba veya cüzdana eriştikten sonra, tehdit aktörleri kurbanı destek sohbetinde tutarken tüm fonlardan boşaltırlar.
Bu gibi saldırılara dolanmaktan kaçınmak için, gönderenin e -posta adresine ve gönderilen URL'lere her zaman dikkat etmek önemlidir.
Bu URL'ler kripto para birimi platformuyla eşleşmiyorsa, e -postayı hemen şüpheli olarak ele almalı ve silmelisiniz.
Ne yazık ki, bu dolandırıcılıklardan birine düşerseniz, bir kripto borsasının cüzdanınızdan iletildikten sonra fonlarınızı kurtarması nedeniyle yapabileceği hiçbir şey yoktur.
Lazarus Hackers, Crypto.com iş teklifleri aracılığıyla macOS kötü amaçlı yazılımları bırakın
575 milyon dolarlık kripto ponzi planı yürüttüğü için iki Estonyalı tutuklandı
Kripto para birimini çalmak için kullanılan Google Chrome uzantısı, parolalar
Yeni saldırılar, kötü amaçlı yazılımları bırakmak için Windows Security Bypass Sıfır Gününü kullanıyor
Kimlik avı kiti, ABD alışverişlerini hedeflemek için tanınmış markaları taklit ediyor
Kaynak: Bleeping Computer