Os agentes de ameaças estão se passando pelo Correio dos Estados Unidos (USPS) em uma campanha de saque legítimo que desvia as vítimas para um site de phishing para roubar credenciais bancárias e de cartões de pagamento, descobriram pesquisadores.
Um anúncio malicioso aparece nas buscas do Google para usuários de celular e desktop que desejam rastrear pacotes por meio do site do USPS, revelou Jérôme Segura, diretor de inteligência de ameaças do Malwarebytes Labs, em uma postagem no blog publicada em 5 de julho.
Embora pareça “completamente confiável”, não é, disse ele. Em vez disso, ele redireciona as vítimas para um site malicioso que primeiro coleta seu endereço e detalhes de cartão de crédito e, em seguida, exige que elas façam login em sua conta bancária para verificação, eventualmente roubando essas informações também.
Segura cita Jesse Baumgartner, diretor de marketing da Overt Operator, como a pessoa que descobriu a campanha. Baumgartner compartilhou capturas de tela de sua experiência tentando rastrear um pacote que o levou a um site fraudulento em uma postagem no LinkedIn.
Os pesquisadores do Malwarebytes Labs se propuseram a encontrar o golpe e foram imediatamente capazes de encontrar o anúncio de aparência autêntica realizando uma simples pesquisa no Google por “rastreamento usp”.
“Incrivelmente, o trecho do anúncio contém o site oficial e o logotipo do Serviço Postal dos Estados Unidos e, no entanto, o ‘anunciante’ cujo nome legal verificado é Анастасія Іващенко (Ucrânia), não tem nada a ver com isso”, escreveu Segura.
O Malwarebytes Labs relatou a campanha ao Google e, por sua vez, a Cloudflare já sinalizou os domínios como sites de phishing.
A campanha é mais um lembrete de que, não importa quanta conscientização haja sobre anúncios, links e sites maliciosos à espreita na Internet, os agentes de ameaças ainda usam com sucesso táticas frequentemente usadas que abusam e se passam por entidades confiáveis para enganar e fraudar os usuários da Internet, disse ele.
“Malvertising via resultados de pesquisa continua sendo um problema que afeta tanto os consumidores quanto as empresas que depositam sua confiança em marcas conhecidas”, escreveu Segura no post.
Uma recente campanha de malvertising em janeiro também alavancou marcas confiáveis ao segmentar usuários que pesquisam por cofres da Web do Bitwarden e do 1Password no Google. Os agentes de ameaças usaram anúncios pagos com links para sites falsificados de forma inteligente para roubar credenciais para os cofres de senhas dos usuários desavisados.
Criando uma campanha de phishing convincente
Segura detalhou como o ator ou atores por trás da campanha do USPS conseguiram fazê-la parecer tão convincente para um usuário final. Essencialmente, eles usaram táticas que podem se aplicar a vários tipos de malvertising, disse ele.
Há duas campanhas publicitárias — uma direcionada a usuários de dispositivos móveis e outra direcionada a usuários de desktop. Embora os anúncios pareçam usar a URL oficial do USPS enquanto redirecionam as vítimas para um domínio controlado pelo invasor, as URLs mostradas no anúncio “são artefatos visuais puros que não têm nada a ver com o que você realmente clica”, explicou Segura.
“Quando você clica no anúncio, o primeiro URL retornado é o próprio Google, que contém várias métricas relacionadas ao anúncio, seguido pelo URL do próprio anunciante”, disse ele. “Os usuários nunca conseguem ver isso, e é isso que torna o malvertising por meio da falsificação de identidade de marca tão perigoso.”
As vítimas que clicam no anúncio acessam um site que pede que elas insiram seu número de rastreamento de pacotes, assim como qualquer página para esse tipo de solicitação. No entanto, ao enviar essas informações, eles recebem um erro informando que seu pacote não pôde ser entregue “devido a informações incompletas no endereço de entrega”.
Isso pode levantar suspeitas, mas provavelmente não, já que é bastante comum que alguém rastreando um pacote receba esse tipo de notificação, observou Segura. No entanto, o próximo passo do ataque – no qual os usuários são solicitados a inserir seu endereço completo novamente, bem como enviar seus dados de cartão de crédito para pagar uma pequena taxa de 35 centavos – deve levantar um alerta vermelho, disse ele.
É nesse ponto que as vítimas entram no site de phishing e os invasores podem roubar seus dados, tornando a pequena taxa “completamente irrelevante”, já que abrir mão de dados de cartão de pagamento — que podem ser usados pelo agente da ameaça ou revendidos em mercados criminosos — pode resultar em muito mais danos a alguém, observou Segura.
A etapa final do ataque é uma solicitação para que as vítimas insiram credenciais para sua instituição financeira por meio de uma página dinâmica que gera um modelo com base nas informações de cartão de crédito fornecidas. Por exemplo, se uma pessoa enviar dados para um cartão Visa associado ao JP Morgan Bank, a página pedirá que o alvo faça login na página do JP Morgan. Outros bancos e cartões resultarão em modelos diferentes específicos para os dados fornecidos, disse Segura, semelhante a como funcionam as sobreposições de trojans bancários.
Recomendações para impedir a má versão
Como mencionado, o malvertising já é um método bem conhecido usado por cibercriminosos para roubar credenciais de usuários. No entanto, embora a conscientização seja fundamental para evitar ser vítima de uma campanha, “o treinamento só pode ir tão longe” por causa de quão legítimos são os golpes maliciosos modernos criados por invasores, escreveu Segura.
Uma maneira de interromper essas campanhas antes que elas cheguem aos usuários finais é que os mecanismos de busca apliquem controles mais rígidos para combater a imitação de marca que os agentes de ameaças adotaram com tanto sucesso, disse ele.
“Quando se trata de downloads de software, uma solução que vem à mente é reservar um espaço reservado para a página oficial de download e nunca permitir que um anúncio ocupe esse lugar”, escreveu Segura, observando que o Bing da Microsoft já aplicou a política com sucesso.
A aplicação de proteção de navegador em tempo real que pode interromper a cadeia de eliminação de malvertising desde o anúncio inicial até a carga útil — seja malware, phishing ou outro tipo de golpe — também pode prevenir e mitigar esse tipo de ataque.
FONTE: DARK READING