Een Spaanstalige cybercrimegroep genaamd GXC-team Er is waargenomen dat phishingkits worden gebundeld met kwaadaardige Android-applicaties, waardoor malware-as-a-service (MaaS)-aanbiedingen naar een hoger niveau worden getild.
Het Singaporese cybersecuritybedrijf Group-IB, dat de e-criminele actor sinds januari 2023 in de gaten houdt, omschreef de crimeware-oplossing als een “geavanceerd AI-gestuurd phishing-as-a-service-platform” dat gebruikers van meer dan 36 Spaanse banken, overheidsinstanties en 30 instellingen wereldwijd kan targeten.
De phishingkit kost tussen de $ 150 en $ 900 per maand, terwijl de bundel met de phishingkit en Android-malware op abonnementsbasis verkrijgbaar is voor ongeveer $ 500 per maand.
Doelwitten van de campagne zijn onder meer gebruikers van Spaanse financiële instellingen, evenals belasting- en overheidsdiensten, e-commerce, banken en cryptocurrency-beurzen in de Verenigde Staten, het Verenigd Koninkrijk, Slowakije en Brazilië. Tot nu toe zijn er maar liefst 288 phishingdomeinen geïdentificeerd die aan de activiteit zijn gekoppeld.
Ook de verkoop van gestolen bankgegevens en het op maat coderen voor andere cybercriminele groepen die zich richten op banken, financiële instellingen en cryptovalutabedrijven, behoren tot het dienstenaanbod.
“In tegenstelling tot typische phishingontwikkelaars combineerde het GXC-team phishingkits met een SMS OTP-stealer-malware, waarmee een typisch phishingaanvalscenario een enigszins nieuwe richting insloeg”, aldus beveiligingsonderzoekers Anton Ushakov en Martijn van den Berk in een rapport van donderdag.
Wat hier opvalt, is dat de dreigingsactoren, in plaats van direct gebruik te maken van een valse pagina om de inloggegevens te bemachtigen, de slachtoffers aansporen om een Android-gebaseerde bank-app te downloaden om phishingaanvallen te voorkomen. Deze pagina’s worden verspreid via smishing en andere methoden.
Na installatie vraagt de app om toestemming om de app te configureren als standaard-sms-app. Zo kunnen eenmalige wachtwoorden en andere berichten worden onderschept en doorgestuurd naar een Telegram-bot die onder hun controle staat.
“In de laatste fase opent de app de website van een echte bank in WebView, zodat gebruikers er normaal mee kunnen interacteren,” aldus de onderzoekers. “Daarna, wanneer de aanvaller de OTP-prompt activeert, ontvangt de Android-malware stilletjes sms-berichten met OTP-codes en stuurt deze door naar de Telegram-chat die wordt beheerd door de dreigingsactor.”
Andere diensten die de kwaadwillende partij op een speciaal Telegram-kanaal aanbiedt, zijn onder andere spraakoproeptools met AI. Hiermee kunnen klanten spraakoproepen genereren naar potentiële doelwitten op basis van een reeks prompts, rechtstreeks vanuit de phishingkit.
Deze telefoontjes doen zich meestal voor alsof ze afkomstig zijn van een bank en geven de bank de opdracht om hun tweefactorauthenticatiecodes (2FA) in te voeren, schadelijke apps te installeren of andere willekeurige acties uit te voeren.
“Door dit eenvoudige maar effectieve mechanisme in te zetten, wordt de oplichtingssituatie nog overtuigender voor slachtoffers. Bovendien laat het zien hoe snel en eenvoudig criminelen AI-tools omarmen en implementeren in hun praktijken. Zo transformeren ze traditionele fraudescenario’s in nieuwe, geavanceerdere tactieken”, benadrukken de onderzoekers.
In een recent rapport onthulde Mandiant, eigendom van Google, hoe AI-gestuurde stemkloning menselijke spraak met “griezelige precisie” kan nabootsen. Hierdoor zijn phishing- (of vishing-)aanvallen authentieker te maken, wat initiële toegang, escalatie van bevoegdheden en laterale verplaatsing mogelijk maakt.
“Dreigingsactoren kunnen zich voordoen als leidinggevenden, collega’s of zelfs IT-ondersteuningspersoneel om slachtoffers ertoe te verleiden vertrouwelijke informatie prijs te geven, op afstand toegang te verlenen tot systemen of geld over te maken”, aldus het dreigingsinformatiebureau.
“Het vertrouwen dat je hebt in een vertrouwde stem kan worden misbruikt om slachtoffers te manipuleren en ze zo te dwingen acties te ondernemen die ze normaal gesproken niet zouden ondernemen, zoals klikken op schadelijke links, malware downloaden of gevoelige gegevens vrijgeven.”
Phishingkits, die ook over ‘adversary-in-the-middle’-mogelijkheden (AiTM) beschikken, worden steeds populairder omdat ze de technische drempel verlagen om op grote schaal phishingcampagnes uit te voeren.
Beveiligingsonderzoeker dhr.d0x stelde in een vorige maand gepubliceerd rapport dat het voor kwaadwillenden mogelijk is om misbruik te maken van progressieve web-apps (PWA’s) om overtuigende inlogpagina’s te ontwerpen voor phishingdoeleinden. Dit doen ze door de elementen van de gebruikersinterface zo te manipuleren dat er een nep-URL-balk wordt weergegeven.
Bovendien kunnen dergelijke AiTM-phishingkits ook worden gebruikt om in te breken in accounts die worden beschermd met wachtwoorden op verschillende onlineplatformen. Dit gebeurt via een zogenaamde ‘authenticatiemethode-redactieaanval’. Hierbij wordt misbruik gemaakt van het feit dat deze diensten nog steeds een minder veilige authenticatiemethode aanbieden als uitwijkmechanisme, zelfs wanneer wachtwoorden zijn geconfigureerd.
“Omdat de AitM de weergave die aan de gebruiker wordt gepresenteerd, kan manipuleren door HTML, CSS en afbeeldingen of JavaScript op de inlogpagina aan te passen, terwijl deze via een proxy naar de eindgebruiker wordt doorgestuurd, kunnen ze de authenticatiestroom beheren en alle verwijzingen naar wachtwoordauthenticatie verwijderen”, aldus cybersecuritybedrijf eSentire.
Volgens Barracuda Networks en Cofense komt de onthulling op een moment dat er de laatste tijd veel phishingcampagnes zijn waarbij URL’s worden ingesloten die al zijn gecodeerd met behulp van beveiligingstools zoals Secure Email Gateways (SEG’s). Op die manier wordt geprobeerd phishinglinks te maskeren en scans te omzeilen.
Er zijn ook social engineering-aanvallen waargenomen waarbij ongebruikelijke methoden worden gebruikt. Hierbij worden gebruikers verleid om ogenschijnlijk legitieme websites te bezoeken en vervolgens gevraagd om handmatig verborgen code te kopiëren, plakken en uit te voeren in een PowerShell-terminal. Dit gebeurt onder het mom van het oplossen van problemen met het bekijken van inhoud in een webbrowser.
Details van de malware-aflevermethode zijn eerder gedocumenteerd door ReliaQuest en Proofpoint. McAfee Labs volgt de activiteit onder de naam ClickFix.
“Door Base64-gecodeerde scripts in ogenschijnlijk legitieme foutmeldingen in te sluiten, misleiden aanvallers gebruikers zodat ze een reeks acties uitvoeren die resulteren in de uitvoering van schadelijke PowerShell-opdrachten”, aldus onderzoekers Yashvi Shah en Vignesh Dhatchanamoorthy.
“Deze opdrachten downloaden en voeren doorgaans payloads uit, zoals HTA-bestanden, vanaf externe servers, waarna malware zoals DarkGate en Lumma Stealer wordt geïmplementeerd.”
