0
0
O site gratuito de design gráfico Canva está sendo abusado por atores de ameaças para criar e hospedar páginas de pouso de phishing intrincadas.
O Canva é uma plataforma de design gráfico que permite que os usuários criem pôsteres, timbres, cartões de férias e outras mídias digitais que podem ser baixadas como uma imagem, compartilhada como HTML com links clicáveis ou impressas.
Como parte de seu serviço, os designers podem gerar URLs compartilháveis para que amigos e colegas possam ver seu trabalho em canva.com.
Ao compartilhar designs, um usuário que clicar no link verá uma exibição de página inteira e poderá interagir com quaisquer links ou formulários incorporados.
A hospedagem de Canva é abusada em golpes de phishing.
Em um novo relatório da empresa de segurança cibernética Cofense, os atores de ameaças estão cada vez mais usando o Canva para criar páginas de pouso HTML hospedadas que são usadas para redirecionar vítimas de phishing para formulários de login falsos.
Como você pode ver no e-mail de spam abaixo, os atores de ameaças realizam uma campanha de Phishing fingindo ser a notificação de entrega do SharePoint eFax. Embutido nesta notificação está um link para uma página de aterrissagem de phishing hospedada em canva.com.
Quando uma vítima de phishing clicar no link, ela será levada para uma página HTML intermediária projetada pelo Canva hospedada em Canva.com. Esta página de entrada finge ser informações sobre o Fax que você recebeu, com um link clicável que afirma que ele pode ser usado para revisar o documento de fax.
Clicar no link traz uma vítima para a página final de phishing landing, onde ela é solicitada a fazer login para ver o documento.
Como você pode esperar, qualquer credencial de login que você inserir nesta página será roubada pelos invasores.
Por que usar Canva?
Pode ser confuso por que as campanhas de phishing estão usando o Canva para hospedar suas páginas em vez de Google Docs, Folhas ou até mesmo Dropbox.
A razão provável é que o Google e o Dropbox têm um longo histórico de lidar com ameaças maliciosas e têm melhores sistemas para detectá-las e removê-las.
O Canva, por outro lado, não foi projetado para ser uma plataforma de hospedagem, mas sim uma plataforma para criar conteúdo que geralmente não está associado a comportamentos maliciosos.
Devido a isso, a Cofense descobriu que eles são muito menos eficientes em encontrar ameaças hospedadas, e as landing pages tendem a permanecer ativas por períodos mais longos.
“O Canva provavelmente está ciente do problema, removendo arquivos maliciosos como e quando eles são encontrados, mas, como nossa pesquisa concluiu, muitos desses arquivos maliciosos permaneceram na plataforma hospedada do Canva por horas e até dias de cada vez. Sites, como o Google, onde os hackers tradicionalmente hospedam seus e-mails de phishing, parecem ser muito mais rápidos em detectá-los e removê-los, o que é outra razão pela qual os atores de ameaças começaram a explorar a plataforma Canva”, explica Cofense em seu relatório.
Além disso, usando o Canva como uma página de redirecionamento intermediário, quando a página final de landinging é retirada, os atacantes podem atualizar seus designs canva para apontar para uma nova URL final de phishing para que sua campanha não seja quebrada.
FONTE: BLEEPING COMPUTER