0
0
Especialistas detectaram uma campanha criativa de phishing do Office 365 que inverte imagens usadas como backgrounds para landing pages para evitar ser sinalizada como maliciosa.
Pesquisadores da WMC Global avistaram uma nova campanha criativa de phishing office 365 que vem invertendo imagens usadas como backgrounds para landing pages para evitar ser sinalizada como maliciosa por soluções de segurança que verificam a web em sites de phishing.
O mecanismo de evasão de bots foi implantado em vários sites de phishing projetados para roubar credenciais do Office 365.
Pesquisadores da WMC Global observaram que essa técnica foi implementada em um kit de phishing desenvolvido por um ator de ameaças que a está vendendo para vários usuários.
“Como o software de reconhecimento de imagem está melhorando e se tornando mais preciso, essa nova técnica visa enganar os motores de digitalização invertendo as cores da imagem, fazendo com que o hash da imagem difere do original. Essa técnica pode dificultar a capacidade do software de sinalizar essa imagem completamente.” lê a análise publicada pela WMC Global.
O kit de phishing que usa esse truque reverte automaticamente os fundos usando Folhas de Estilo Em Cascata (CSS) para fazê-los parecer com os fundos das páginas de login legítimas do Office 365.
Enquanto os rastreadores da web de detecção de phishing são servidos a imagem invertida, as vítimas em potencial são redirecionadas para uma dessas páginas de pouso de phishing que verão o fundo original em vez do invertido.
Resumindo, o kit de phishing exibe diferentes versões da mesma página de pouso de phishing para vítimas e mecanismos de digitalização.
“No entanto, uma vítima que visita o site provavelmente reconheceria que a imagem invertida é ilegítima e sairia do site. Como resultado, o ator de ameaças tem armazenado a imagem invertida e, dentro do código index.php, usou um método CSS para reverter a cor da imagem para seu estado original.” continua a análise. “Essa abordagem resulta no momento em que o site final parece legítimo para os usuários que visitam, enquanto rastreadores e mecanismos de varredura são altamente improváveis de detectar a imagem como sendo uma cópia invertida do fundo do Office 365.”
Recentemente, especialistas observaram outras campanhas de phishing voltadas para usuários do Office 365 que estavam usando técnicas inovadoras, como aproveitar os serviços públicos de nuvem Google Cloud Services para hospedar as landing pages de phishing.
FONTE: SECURITY AFFAIRS