0
0
Uma campanha de coleta de credenciais de alto volume está usando um programa de boletim informativo de e-mail legítimo chamado SuperMailer para explodir um número significativo de e-mails de phishing projetados para escapar das proteções de gateway de e-mail seguro (SEG).
De acordo com um relatório da Cofense de 23 de maio, a campanha virou uma bola de neve tanto que os e-mails criados pelo SuperMailer representam 5% de todas as credenciais dentro da telemetria da empresa no mês de maio até agora. A ameaça parece estar crescendo exponencialmente: o volume mensal da atividade em geral mais do que dobrou em três dos últimos quatro meses – notável mesmo em um cenário onde o phishing de credenciais está crescendo em geral.
“Combinando os recursos de personalização e envio do SuperMailer com táticas de evasão, os agentes de ameaças por trás da campanha entregaram e-mails personalizados e de aparência legítima para caixas de entrada de todos os setores”, explicou Brad Haas, analista de inteligência de ameaças cibernéticas da Cofense e autor da pesquisa.
E, de fato, a Cofense relata que os atores da ameaça por trás da atividade estão lançando uma ampla rede, esperando atrair vítimas em um mar variado de indústrias, incluindo construção, bens de consumo, energia, serviços financeiros, serviços de alimentação, governo, saúde, informação e análise, seguros, manufatura, mídia, mineração, serviços profissionais, varejo, tecnologia, transporte e serviços públicos.
Phishing superdimensionado com SuperMailer
O que torna os números ainda mais interessantes é o fato de que o SuperMailer é um produto de newsletter um tanto obscuro baseado na Alemanha que não tem nem perto da escala de geradores de e-mail mais conhecidos, como ExpertSender ou SendGrid, diz Hass ao Dark Reading – mas ainda está por trás de grandes faixas de e-mails maliciosos.
“SuperMailer é um software de desktop que pode ser baixado gratuitamente ou por uma taxa nominal de vários sites que podem estar completamente desassociados ao desenvolvedor”, diz ele. “Uma versão gratuita do SuperMailer foi lançada na CNET em 2019 e, desde então, teve aproximadamente 1.700 downloads. Esse número é baixo em comparação com muitos downloads de software populares, mas não temos nenhuma outra informação sobre o número de usuários organizacionais legítimos.”
O SuperMailer não respondeu imediatamente ao pedido de comentário do Dark Reading. Mas como os clientes são propagados por meio de sites de terceiros e não têm nenhum componente de servidor ou nuvem, Haas observa que as mãos metafóricas do SuperMailer estão amarradas quando se trata de erradicar a atividade.
“No passado, vimos grandes serviços baseados em nuvem abusados para enviar e-mails de phishing ou criar redirecionamentos de URL exclusivos apontando para páginas de phishing, mas esses serviços geralmente capturam e combatem a atividade após um período de tempo”, diz ele. “Não sabemos até que ponto o desenvolvedor do SuperMailer é capaz de combater esse abuso.”
Isso, por si só, torna o SuperMailer atraente para os cibercriminosos. Mas a outra razão é que ele oferece um disfarce atraente para passar por SEGs e, finalmente, usuários finais, graças a alguns recursos exclusivos.
Fugindo da segurança de e-mail com facilidade
“Este é outro exemplo de agentes de ameaças abusando de ferramentas que foram projetadas para fins legítimos”, observa Haas, acrescentando que recursos que usuários legítimos consideram úteis também atrairão bandidos. “Isso já acontece na arena de testes de penetração, onde ferramentas de teste de penetração de código aberto são regularmente abusadas por agentes de ameaças para realizar atividades reais de ameaça”, diz ele.
Nesse caso, o SuperMailer oferece compatibilidade com vários sistemas de e-mail, o que permite que os agentes de ameaças espalhem sua operação de envio por vários serviços — isso diminui o risco de que um servidor de e-mail SEG ou upstream classifique e-mails como indesejados devido à reputação.
“Os agentes da ameaça provavelmente têm acesso a uma variedade de contas comprometidas, e eles usam os recursos de envio do SuperMailer para girar através delas”, escreveu Haas em seu relatório sobre a ameaça.
As campanhas geradas pelo SuperMailer também aproveitam os recursos de personalização de modelos, como a capacidade de preencher automaticamente o nome, o e-mail, o nome da organização, as cadeias de resposta de e-mail de um destinatário e muito mais, o que aumenta a legitimidade do e-mail para os alvos.
O software também não sinaliza redirecionamentos abertos — páginas da Web legítimas que redirecionam automaticamente para qualquer URL incluída como parâmetro. Isso permite que agentes mal-intencionados usem URLs completamente legítimos como links de phishing de primeiro estágio.
“Se um SEG não seguir o redirecionamento, ele apenas verificará o conteúdo ou a reputação do site legítimo”, disse a Haas no relatório. “Embora os redirecionamentos abertos sejam geralmente considerados uma fraqueza, eles podem ser encontrados até mesmo em sites de alto perfil. Por exemplo, as campanhas que analisamos usaram um redirecionamento aberto no YouTube.”
Defendendo-se contra a ameaça do SuperMailer
A Cofense conseguiu rastrear a atividade do SuperMailer graças a um erro de codificação que os invasores cometeram ao criar os modelos de e-mail: todos os e-mails incluíram uma sequência única mostrando que foram produzidos pelo SuperMailer. No entanto, analisar mensagens para essa cadeia de caracteres ou, mais amplamente, bloquear serviços de e-mail legítimos inteiros não é a resposta.
“Ainda não descobrimos nenhuma característica padrão que nos permita bloquear amplamente os e-mails gerados pelo SuperMailer”, diz Haas. “Neste caso, as características identificáveis só foram detectadas devido a um erro do agente da ameaça. Sem o erro, não seria viável, já que essas características não são visíveis em todos os e-mails do SuperMailer.”
No entanto, ele observa que há outras características que identificariam os e-mails como potenciais ameaças à segurança, mesmo sem saber sua origem — incluindo seu conteúdo. Um exemplo seriam cadeias de resposta de e-mail não específicas do destino anexadas às mensagens.
Isso é especialmente importante tendo em vista que a Cofense descobriu que os phishings do SuperMailer fazem parte de um conjunto maior de atividades que representaram 14% dos e-mails de phishing que chegaram às caixas de entrada em maio na telemetria da Cofense. Haas explicou que todos os e-mails – enviados pelo SuperMailer e os outros – compartilham certos indicadores que os unem, como o uso de randomização de URL.
“A intuição humana geralmente é muito melhor em reconhecer essas diferenças”, diz Haas, “então treinar os funcionários para estarem vigilantes contra ameaças de phishing é um elemento crítico de uma boa defesa cibernética”.
FONTE: DARK READING