عوامل تهدید راه خود را برای احراز هویت دو عاملی (2FA) و استفاده از سایر تاکتیک‌های فرار هوشمندانه در یک کمپین فیشینگ اخیراً مشاهده شده با هدف تصاحب حساب‌های Coinbase برای کلاهبرداری از کاربران از موجودی‌های رمزنگاری‌شان باز می‌کنند.

مهاجمان از ایمیل هایی استفاده می کنند که افراد محبوب را جعل کرده است کریپتو کارنسی (رمز ارزها ) صرافی برای فریب دادن کاربران برای ورود به حساب هایشان تا بتوانند به آنها دسترسی داشته باشند و سرمایه قربانی را سرقت کنند. نرم افزار PIXM پیدا کرده اند.

تیم تحقیقاتی PIXM Threat در توضیح داد: «آنها معمولاً این وجوه را از طریق شبکه ای از حساب های «سوزکننده» به صورت خودکار از طریق صدها یا هزاران تراکنش توزیع می کنند تا کیف پول اصلی را از کیف پول مقصد خود پنهان کنند. یک پست وبلاگ پنجشنبه منتشر شد. کوین بیس یک پلتفرم مبادله ارز دیجیتال است که به صورت عمومی معامله می شود و از سال 2012 وجود داشته است. مسلماً یکی از اکثر صرافی های رایج رمزنگاری، با بیش از 89 میلیون کاربر، و به این ترتیب یک هدف جذاب برای مجرمان سایبری

تاکتیک های فرار هوشمندانه

محققان نوشتند که مهاجمان طیف وسیعی از تاکتیک‌ها را برای اجتناب از شناسایی به کار می‌گیرند، از جمله یکی از محققان که آن را «دامنه‌های کوتاه مدت» نامیده‌اند - که در آن دامنه‌های مورد استفاده در حمله «برای مدت زمان بسیار کوتاهی زنده می‌مانند» - که از شیوه‌های معمول فیشینگ منحرف می‌شود.

«برآوردهای ما اکثر صفحات را در اینترنت برای کمتر از دو ساعت در دسترس قرار می‌دهند» که در برخی موارد حتی به محققان PIXM اجازه نمی‌داد پس از اطلاع از حمله، تحقیقات قانونی مورد نظر را انجام دهند.

محققان خاطرنشان کردند که این، در میان تکنیک‌های دیگر مانند آگاهی از زمینه و رله 2 عاملی، به مهاجمان اجازه می‌دهد «از کاوش در زیرساخت‌های فیشینگ خود جلوگیری کنند».

به گفته PIXM، به ویژه آگاهی از زمینه یک تاکتیک پنهان است زیرا مانند دامنه های کوتاه مدت، پیگیری این واقعیت را برای محققان امنیتی با مبهم کردن صفحات فیشینگ دشوار می کند.

این تاکتیک به دشمنان اجازه می‌دهد تا IP، محدوده CIDR یا موقعیت جغرافیایی را که از آنجا پیش‌بینی می‌کنند هدف یا اهداف خود به آن متصل شوند، بدانند. به گفته محققان، آن‌ها سپس می‌توانند چیزی شبیه فهرست کنترل دسترسی (ACL) در صفحه فیشینگ ایجاد کنند تا اتصالات را فقط از IP، محدوده یا منطقه هدف مورد نظرشان محدود کند.

محققان نوشتند: «حتی اگر یکی از این صفحات در عرض چند ساعت فعال بودن سایت شناسایی یا گزارش شود، یک محقق باید محدودیت‌های اعمال شده در صفحه را جعل کند تا بتواند به سایت دسترسی پیدا کند.»

فیشینگ برای تصاحب حساب

این حملات با هدف قرار دادن کاربران کوین‌بیس توسط یک ایمیل مخرب آغاز می‌شود که صرافی ارز را جعل می‌کند تا قربانیان احتمالی فکر کنند که این یک پیام قانونی است.

به گفته محققان، این ایمیل از دلایل مختلفی برای ترغیب کاربر به ورود به حساب کاربری خود استفاده می کند و ادعا می کند که یا به دلیل فعالیت مشکوک قفل شده است یا یک تراکنش باید تأیید شود.

همانطور که در کمپین‌های فیشینگ معمول است، اگر کاربران دستورالعمل پیام را دنبال کنند، به یک صفحه ورود جعلی می‌رسند و از آنها خواسته می‌شود اعتبار خود را وارد کنند. اگر این اتفاق بیفتد، مهاجم اعتبارنامه ها را در زمان واقعی دریافت می کند و از آنها برای ورود به وب سایت قانونی Coinbase استفاده می کند.

این زمانی است که عوامل تهدید از رله 2 عاملی در ساختار حمله استفاده می کنند برای دور زدن به گفته محققان، MFA در پلتفرم Coinbase تعبیه شده است.

اقدام مهاجم از Coinbase می‌خواهد تا یک کد 2FA را برای قربانی بفرستد، که فکر می‌کند این اعلان با وارد کردن اطلاعات کاربری در صفحه ورود جعلی انجام شده است. هنگامی که کاربر کد 2FA را در وب سایت جعلی وارد می کند، مهاجم بلافاصله آن را دریافت می کند و به حساب قانونی وارد می شود و بنابراین کنترل حساب را به دست می آورد.

هدایت بودجه به بازیگران تهدید کننده

هنگامی که عامل تهدید به حساب دسترسی پیدا کرد، برای جلوگیری از شناسایی یا مطرح کردن موارد مشکوک، اقدام به انتقال وجوه کاربر به شبکه حساب‌های مذکور از طریق انبوهی از تراکنش‌ها می‌کند.

"این وجوه همچنین اغلب از طریق خدمات غیرقانونی رمزنگاری آنلاین، مانند کازینوهای ارز دیجیتال، برنامه های شرط بندی و بازارهای آنلاین غیرقانونی اختلاس می شود.

در همین حال، در این مرحله، قربانی ناخواسته پیامی را مشاهده می‌کند که به آنها اطلاع می‌دهد حسابش قفل یا محدود شده است - برخلاف ایمیل اولیه فیشینگ که کل تراکنش مخرب را به همراه داشت. از آنها خواسته می شود تا با خدمات مشتری چت کنند تا مشکل را حل کنند و یک کادر چت در گوشه سمت راست صفحه ظاهر می شود تا آنها این کار را انجام دهند.

این اعلان در واقع مرحله دوم حمله است، که در آن بازیگر تهدید جعل هویت یکی از کارمندان Coinbase می شود که به فرد کمک می کند حساب خود را بازیابی کند و اطلاعات شخصی و حساب های مختلف را درخواست کند. به گفته محققان، با این حال، در واقع، مهاجمان در حال خرید زمان هستند تا بتوانند انتقال وجه را قبل از مشکوک شدن قربانی انجام دهند.

آنها نوشتند: "آنها از این جلسه چت استفاده می کنند تا هنگام انتقال وجوه خود، هدف را اشغال و حواس خود را پرت نگه دارند (از ایمیل های احتمالی یا متن هایی که ممکن است از Coinbase هنگام شروع نقل و انتقالات دریافت کنند).

هنگامی که انتقال وجوه کامل شد، مهاجم جلسه چت را به طور ناگهانی می بندد و صفحه فیشینگ را می بندد و کاربر کوین بیس را گیج می کند و به زودی متوجه می شود که این کار را انجام داده است. کلا کلاهبرداری شده، آنها گفتند.