Kimlik Avını Yaymaya Yönelik Araç Grubu İçeren CryptoChameleon Kiti


Şubat 2024’te tespit edilen bir kimlik avı aracı olan CryptoChameleon, kimliği bilinmeyen biri tarafından geliştirildi ve tehdit aktörleri tarafından cep telefonu kullanıcılarının kullanıcı adı ve şifreleri gibi kişisel verileri toplamak için kullanılıyor.

Kapsamlı bir araştırma, diğerlerinin yanı sıra Binance ve Coinbase gibi önde gelen kripto para platformlarına saldırmak için tasarlanmış birçok CryptoChameleon hızlı akış göstergesini ortaya çıkardı. Bu göstergeler, müşterilerini hedef alan gelecekteki saldırıların göstergesi olabilir.

SilentPush’taki siber güvenlik araştırmacıları yakın zamanda CryptoChameleon Kit’in kimlik avını hızla altyapıya yayan araçlara sahip olduğunu tespit etti.

Teknik Analiz

Şubat 2024’te Silent Push, e-posta, SMS ve sesli saldırılar yoluyla FCC, Binance, Coinbase ve diğerlerini hedef alan kötü amaçlı CryptoChameleon kimlik avı kiti etkinliğini keşfetti.

Kit, geleneksel IOC tabanlı savunmaları atlayarak IP’ler arasında hızla geçiş yapmak için DNSPod ad sunucularını kullanarak hızlı akışlı DNS kaçırma tekniklerinden yararlanır.

CryptoChameleon, kimlik bilgilerini ve verileri toplamak için sektörlerdeki çeşitli markaları taklit ediyor.

Analiz, kimlik avı sayfalarına yerleştirilmiş komuta ve kontrol altyapısı ayrıntılarını ve hedeflenen kuruluşları ortaya çıkarır.

All-in-One Cybersecurity Platform for MSPs to provide full breach protection with a single tool, Watch a Full Demo 

Aşağıda CryptoChameleon hedeflerinden bahsettik: –

  • yahoo
  • Görünüm
  • İkizler burcu
  • Kraken
  • Apple / iCloud
  • heyecan
  • Binance
  • Destekle
  • Son Geçiş
  • Google/Gmail
  • AOL

Aşağıda kimlik avı sayfalarından bahsettik: –

Swan kimlik avı sayfası (Kaynak - SilentPush)
Swan kimlik avı sayfası (Kaynak – SilentPush)
Kraken kimlik avı sayfası (Kaynak - SilentPush)
Kraken kimlik avı sayfası (Kaynak – SilentPush)
Defter kimlik avı sayfası (Kaynak - SilentPush)
Defter kimlik avı sayfası (Kaynak – SilentPush)
Apple kimlik avı sayfası (Kaynak - SilentPush)
Apple kimlik avı sayfası (Kaynak – SilentPush)
Gamdom kimlik avı sayfası (Kaynak - SilentPush)
Gamdom kimlik avı sayfası (Kaynak – SilentPush)

Kötü amaçlı mimarisini taşımak için DNSPod.com’u kullanmasıyla bilinen Silent Push kötü amaçlı yazılımı, CryptoChameleon’un hızlı akışlı DNS mimarisinde gezinmek için belirlenmiş parametrelerle IP çeşitliliği sorguları gerçekleştirdi.

Bu analiz için geleneksel IOC’leri kullanmak yerine, temeldeki saldırı altyapısını izleyen birinci taraf bir veritabanı kullandı. T

onun araştırmacıları, CryptoChameleon kimlik avı kampanyaları tarafından aktif olarak kullanılan barındırma sağlayıcılarını, ASN’leri ve küresel altyapıyı haritalandırmaya olanak sağladı.

Aşağıda, ilgili tüm alanlardan bahsettik: –

  • 76153-coinbse[.]iletişim
  • 81758-coinbse[.]iletişim
  • 81920-coinbse[.]iletişim
  • 81926-coinbse[.]iletişim
  • 81958-coinbse[.]iletişim
  • 826298-coinbse[.]iletişim
  • 83216-coinbse[.]iletişim
  • 837613-coinbse[.]iletişim
  • 83956-coinbse[.]iletişim

Bunun yanı sıra araştırmacılar, topluluk ve kurumsal kullanıcıların Silent Push’un IP çeşitliliği sorgularından ve web tarama özelliklerinden yararlanabileceğini doğruladı.

Bu onların farklı veri noktalarını birbirine bağlamasına ve CryptoChameleon’un taktikleri, teknikleri ve prosedürlerine ilişkin kapsamlı görünürlük kazanmalarına olanak tanıyacak.

Get special offers from ANY.RUN Sandbox. Until May 31, get 6 months of free service or extra licenses. Sign up for free.



Source link