0
0
Um aumento de 25% no uso de kits de phishing foi registrado em 2022, de acordo com o Group-IB.
As principais tendências de phishing observadas são o uso crescente de controle de acesso e técnicas avançadas de evasão de detecção. O aumento de táticas evasivas, como técnicas de antibot e randomização, representa um desafio significativo para os sistemas de detecção convencionais e estende a vida útil das campanhas de phishing.
Foram identificados 3.677 kits únicos de phishing em 2022, 25% a mais do que em 2021. Um kit de phishing é um conjunto de ferramentas que permite aos cibercriminosos criar e operar várias páginas de phishing de uma só vez. Essas são ferramentas úteis para os agentes de ameaças, pois permitem que eles criem e mantenham sem esforço a infraestrutura necessária para realizar campanhas de phishing em larga escala, mover de um host para outro em caso de bloqueio e coletar dados roubados.
Métodos de kits de phishing para lidar com dados roubados
Os sites de phishing são projetados para coletar dados pessoais e exigem um método específico para coletá-los e armazená-los. A maior parte dos dados roubados ainda é tratada por e-mail. No total, pouco menos da metade dos kits de phishing de 2022 dependia do e-mail para lidar com informações roubadas, com o Gmail sendo o serviço de e-mail preferido usado para coleta de dados entre os criadores de kits de phishing (45%).
Uma tendência contínua é a popularidade sustentada do Telegram para coleta de dados roubados. O número de kits de phishing que usam o Telegram para coletar dados roubados quase dobrou em 2022 em comparação com o ano anterior.
Em 2021, 5,6% dos kits de phishing usaram o Telegram para lidar com dados roubados. Um ano depois, a participação do Telegram aumentou para 9,4%. A flexibilidade e a conveniência do mensageiro permitem que os cibercriminosos processem e gerenciem informações comprometidas quase em tempo real.
Muitos kits de phishing empregavam mais de um método para lidar com dados roubados. Por exemplo, em 2022, aproximadamente 1.500 kits de phishing continham a funcionalidade de transferir dados roubados via Telegram, e-mail ou gravando os dados em um arquivo localmente no servidor, o que indica sua crescente sofisticação.
Técnicas de evasão de detecção
Juntamente com o aumento do uso do Telegram, os ataques de phishing estão se tornando mais complexos, à medida que os cibercriminosos se concentram em aprimorar os recursos de evasão para evitar a detecção e a remoção.
The evasion techniques identified in phishing kits over 2021-2022 are split into two categories: trivial access control mechanisms and more advanced detection evasion methods.
Within the first category, hypertext access (.htaccess) became the most popular technique in 2022 – 20% of detected phishing kits employed this tactic. The configuration file allows a website operator to restrict access to specific directories based on the visitor’s IP address.
The second most popular access control strategy in 2022 was robots.txt (seen in 12% of kits) — another configuration file that prevents bots and search engine crawlers from accessing the website.
Overall, the use of simple access control mechanisms increased by 92% to 1,824 in 2022 compared to the preceding year, when 951 phishing kits used some sort of selective restriction.
Para dificultar o trabalho de especialistas em segurança cibernética e soluções de segurança cibernética prontas para uso, mais kits de phishing são embalados com técnicas avançadas de evasão de detecção. Os mecanismos básicos incluem a lista negra de IPs e nomes de host de fornecedores de segurança cibernética.
Tecnologias anti-bot
Táticas mais sofisticadas envolvem o uso de tecnologias anti-bot, randomização de diretórios, etc. Essas táticas foram usadas por 2.060 kits de phishing em 2022, 26% a mais do que um ano antes.
Notavelmente, em 2022, os pesquisadores do Group-IB observaram um aumento de 40% no uso de tecnologias anti-bot projetadas para impedir que scanners automatizados de segurança cibernética identifiquem conteúdo de phishing.
Um dos principais objetivos dos phishers é prolongar a vida útil de seus sites. Assim, a técnica de evasão de detecção mais comumente utilizada foram os diretórios dinâmicos. Os operadores de phishing criam pastas de sites aleatórias que só são acessíveis pelo destinatário de uma URL de phishing personalizada e não podem ser acessadas sem o link inicial.
Essa técnica permite que os phishers evitem a detecção e a lista negra, já que o conteúdo de phishing não se revelará. Os diretórios dinâmicos foram utilizados por 22% dos kits de phishing detectados em 2022.
Outra tática popular (observada em 11% dos kits de phishing em 2022) é o uso de 404 páginas falsas exibidas aos visitantes se os parâmetros do dispositivo, geolocalização e referência não corresponderem ao perfil da vítima.
“A automação permite que phishers criem e gerenciem centenas de sites todos os dias”, disse Dmitry Volkov, CEO do Group-IB.
“Extrair e monitorar kits de phishing é uma parte essencial da proteção contra ataques de phishing. Ele pode ajudar a identificar e bloquear phishing antes que ele cause danos maciços. Além disso, a análise de kits de phishing é inestimável de uma perspectiva de coleta de inteligência, pois fornece insights valiosos sobre os TTPs dos adversários. Em muitos casos, também pode ajudar a identificar desenvolvedores de kits de phishing, o que é útil para processar os agentes de ameaças”, concluiu Volkov.
FONTE: HELPNET SECURITY