I ricercatori di Varonis hanno individuato un nuovo kit di phishing, denominato Spiderman, che permette di creare siti web simili a quelli di molte banche europee. Tra i bersagli dei cybercriminali ci sono anche i servizi di criptovalute. Lo scopo è ovviamente rubare le credenziali di login e quindi prendere il controllo degli account.

Kit di phishing modulare

I kit di phishing sono pacchetti “all-in-one” che includono la generazione di email (sempre più spesso con l’intelligenza artificiale), la creazione dei siti fasulli, la cattura delle credenziali e la gestione dei dati rubati in tempo reale. Nel caso di Spiderman è possibile creare copie quasi perfette dei siti di molte banche europee, tra cui Deutsche Bank, ING, Comdirect, Blau, O2, CaixaBank, Volksbank e Commerzbank.

Il kit consente anche di creare versioni fasulle dei portali di noti provider di criptovalute, come Ledger, Metamask e Exodus, oltre a siti fake di fintech, tra cui Klarna e PayPal. Spiderman è modulare, quindi possono essere aggiunti nuovi target e metodi di autenticazione. Usando una specifica funzionalità viene automaticamente creata una pagina di phishing con login, prompt per codice 2FA o PhotoTAN (simile al codice QR) e modulo per le carte di credito.

Un comodo pannello di controllo permette ai cybercriminali di monitorare gli attacchi in tempo reale, tracciare gli input delle vittime, raccogliere informazioni sui dispositivi e rubare diversi dati. Per ridurre la probabilità di blocco da parte dei ricercatori di sicurezza sono disponibili funzionalità di whitelisting (solo traffico da specifici paesi, reti e VPN), filtri per dispositivi (pagine di phishing mostrate solo su specifici dispositivi) e reindirizzamento personalizzato (i visitatori indesiderati sono inviati verso Google o altre pagine legittime).

Spiderman consente infine di catturare dati multipli in una singola sessione: nome, username, password, data di nascita, numero di telefono, dettagli della carta di credito, user agent e indirizzo IP. Queste informazioni vengono sfruttate per furto di account, attacchi di SIM swapping, frode con carta di credito e furto di identità.