0
0
Marcando um pivô dos golpes do COVID-19, os pesquisadores rastreiam um único ator de ameaças através da evolução da pandemia para o PayPal, e para golpes de eleitores mais oportunos — todos com a mesma infraestrutura.
A velocidade com que os phishers são capazes de se adaptar a novas mensagens com base nas últimas manchetes está acelerando, de acordo com a Equipe de Pesquisa de Ameaças do Proofpoint, que foi capaz de rastrear dados de backend de um recente golpe de registro de eleitores para descobrir a rapidez com que os cibercriminosos podem girar para capitalizar os eventos atuais. Acontece que tudo o que é preciso para lançar um potente golpe de phishing é um novo invólucro.
“A gama de temas de phishing de credenciais de informação — PayPal, COVID-19, votação — ilustra como os atores muitas vezes simplesmente giram de um tema para o outro, tudo isso usando infraestrutura semelhante (muitas vezes a mesma) e funcionalidade de backend”, disse Sherrod DeGrippo, diretor sênior de pesquisa e detecção de ameaças do Proofpoint, ao Threatpost. “Está claro que os atores de ameaças continuam tentando alcançar o maior número possível de destinatários pretendidos, capitalizando um tema popular. Vimos em toda a situação global do COVID-19 que os atores de ameaças são capazes de se adaptar rapidamente às notícias oportunas e aos eventos atuais.”
Um recente esquema de registro de eleitores, descoberto pela primeira vez pelo KnowBe4, enviou e-mails dizendo aos eleitores que suas informações de registro estavam incompletas. Os logotipos nas comunicações eram da Comissão de Assistência Eleitoral dos EUA (EAC), levando-os a uma página fraudulenta pedindo-lhes seus dados pessoais.
Rastreando dados do kit de phishing
Ao rastrear dados de kits de phishing, que são pacotes fáceis e de uma parada para phishing, a Equipe de Pesquisa de Ameaças do Proofpoint encontrou um rastro de golpes, todos conectados à mesma infraestrutura, com pouco mais do que uma troca de mensagens diferenciando-os.
“Os phishkits podem ser altamente técnicos ou não muito sofisticados, mas têm evoluído lentamente ao longo do tempo para oferecer mais recursos e recursos”, disse DeGrippo por e-mail. “Os phishkits são negociados, vendidos e doados gratuitamente em vários fóruns.”
Rastrear dados do kit de phishing não é novo, mas a equipe do Proofpoint notou que a mesma infraestrutura estava sendo usada para suportar vários golpes, facilitando a atração pelo maior número possível de vítimas.
“As principais mudanças observadas estão apenas na marca – o ator continua a usar elementos semelhantes [interface de usuário] e código backend, evidenciado pelo POST de informações fornecidas pelo usuário para o mesmo endereço de e-mail em várias operações de phishing de informações”, de acordo com as descobertas do Proofpoint, emitidasesta semana.
Evolução de um golpe de phishing
No golpe de registro de eleitores, que detonou centenas de e-mails de phishing por meio do SendGrid, a mensagem se passava por uma comunicação oficial e pedia aos destinatários que “confirmassem” seus detalhes. Clicado, o link levou ao que o relatório disse ser uma “instalação comprometida do WordPress”, personificando o sistema de registro de eleitores do Arizona, ServiceArizona.
Página de phishing. Fonte: Proofpoint
Uma pesquisa dos dados do kit de phishing levou a um endereço de e-mail, obiri409[@]gmail.com, que os pesquisadores puderam seguir para outros sites que esse fraudador usou em golpes do passado, incluindo uma isca de phishing de verificação de conta do PayPal anterior.
De lá, eles rastrearam os mesmos criminosos para uma abordagem diferente de mensagens de registro de eleitores em outubro, marcando as páginas com o logotipo da EAC em vez do logotipo do governo do condado de Maricopa, pedindo tudo, desde números da Previdência Social até identidades fiscais.
“… e embora não tenhamos conseguido capturar dados POST para esta página, a semelhança impressionante tanto no visual da página quanto no uso de uma instalação do WordPress comprometida sugere que ele é o mesmo ator de ameaça”, acrescentou o relatório.
Sabores de Phishing
É seguro esperar novos esquemas de fraude rapidamente entrando em circulação relacionados com as manchetes recentes, de acordo com o Proofpoint. Já em outubro, várias grandes campanhas foram lançadas centradas em ganchos de notícias. O diagnóstico COVID-19 do presidente, o Comitê Nacional Democrata e outras notícias recentes também têm sido usados como cobertura para esquemas recentes de fraude, de acordo com o Proofpoint.
O prazo para os americanos pedirem ajuda ao coronavírus está se aproximando e os criminosos criaram um esquema para que as pessoas sirvam suas informações pessoais para a promessa de um cheque, por exemplo. Em outro caso, um anúncio recente do Facebook de que estava concedendo US$ 100 milhões em subsídios para pequenas empresas provocou uma rodada de ataques, atraindo usuários através do Telegram e WhatsApp com a promessa de dinheiro fácil.
E, sem surpresas, o Amazon Prime Day foi um dia de campo para fraudes, com tentativas de enganar caçadores de barganhas desavisados.
Modismos e manchetes vêm e vão, e é por isso que cibercriminosos inteligentes aprenderam a se adaptar rapidamente aos tópicos mais recentes quentes para manter seus ataques frescos e relativamente obscurecidos por picos de tráfego de notícias. O desafio para a comunidade de segurança é ficar um passo à frente do próximo rebranding das mesmas velhas táticas de engenharia social.
“As últimas mensagens que observamos deste ator usando temas de registro de eleitores foram enviadas em 7 de outubro”, acrescentou o Proofpoint. “Isso sugere que o ator pode já ter mudado para outro tipo de atração.”
FONTE: THREATPOST