0
0
Está em andamento uma campanha de phishing que usa imagens espelhadas das páginas de destino das organizações-alvo para induzir as vítimas a inserir credenciais de login.
De acordo com um relatório da empresa de segurança Avanan, os agentes maliciosos podem usar essas credenciais coletadas para obter acesso a um tesouro de arquivos pessoais ou da empresa e acesso a outros aplicativos e outros locais da rede.
O fluxo de ataque começa com e-mails informando aos alvos que é hora de atualizar suas senhas, com um botão para clicar. Isso os leva a uma página de phishing que parece ser o domínio do Google da organização, com um endereço de e-mail pré-preenchido e um formulário Google reCAPTCHA, aumentando ainda mais o verniz de autenticidade.
Aqui está a parte interessante: a página de destino é renderizada dinamicamente, de modo que altera o logotipo e o plano de fundo apresentados para corresponder ao domínio legítimo do endereço de e-mail do usuário.
“Embora o URL não seja completamente relacionado ao site da empresa, a página se parece exatamente com o negócio real”, de acordo com o relatório, divulgado hoje . “Na verdade, é um espelho bit a bit do site real da empresa. O usuário final terá seu endereço de e-mail pré-preenchido e verá sua página de login tradicional e plano de fundo, tornando-o incrivelmente convincente.”
A partir daí, a página de phishing solicitará o e-mail duas vezes como validação ou usará as credenciais em tempo real para verificar a senha. Se a senha for boa, o usuário será direcionado para um documento real ou para a home page da organização.
Enquanto isso, o navegador do usuário recebe um cookie que torna a página de phishing “inacessível”, impedindo qualquer análise posterior.
Jeremy Fuchs, analista de pesquisa de segurança cibernética da Avanan, explica que os invasores estão atrás de nomes de usuário e senhas por causa do que podem acessar mais tarde.
“Eles estão atrás dessas credenciais porque são incrivelmente valiosas”, diz ele. “Senhas são chaves para o reino. Elas podem abrir documentos financeiros, arquivos pessoais, registros de funcionários; elas podem levar a contas bancárias e registros médicos. Ao roubar credenciais, os invasores têm um monte de informações na ponta dos dedos.”
Laços com SPAM-EGY, APTs
Fuchs diz que viu essa abordagem de espelhamento de página por cerca de dois anos, em ataques do grupo de phishing como serviço SPAM-EGY , bem como ameaças persistentes avançadas (APTs).
Essa atual onda de ataques segue as marcas registradas do grupo SPAM-EGY, mas os pesquisadores da Avanan observam que esses ataques diferem ao segmentar domínios do Google em vez do Microsoft 365.
“Isso representa uma evolução desse tipo de ataque e, portanto, pode ser realizado por um grupo diferente”, segundo o relatório.
Derek Manky, estrategista-chefe de segurança e vice-presidente de inteligência global de ameaças do FortiGuard Labs da Fortinet, concorda que o espelhamento de páginas não é uma tática nova, mas certamente eficaz. Ele aponta que esses sites espelhados são frequentemente incluídos em kits de phishing que são vendidos por meio do modelo de crime como serviço (CaaS).
As organizações devem tomar nota dos sinais de phishing reveladores
Um relatório recente da Kaspersky diz que os trabalhadores tendem a não notar armadilhas escondidas em e-mails dedicados a problemas corporativos e notificações de problemas de entrega. Mas Fuchs diz que, como acontece com a maioria dos ataques de phishing, existem alguns sinais indicadores de quais organizações precisam treinar usuários.
“É importante lembrar aos funcionários que devem levar dois segundos e fazer duas coisas rápidas: olhar o endereço do remetente e a URL da página”, aconselha. “O endereço do remetente geralmente está errado; essa é a primeira pista de que algo está errado. A URL também provavelmente estará errada; essa é a pista dois. Infundir isso em tudo o que os funcionários fazem é fundamental.”
Manky acrescenta que qualquer transação de credencial deve ser feita com segurança (HTTPS/SSL), e o certificado deve ser verificado, pois o certificado é único e não seria espelhado.
“É claro que um site que parece completamente legítimo fará com que a vítima confie ainda mais – no entanto, eles não devem confiar no conteúdo e sim no fluxo”, acrescenta.
Manky também observa que o treinamento de higiene cibernética é uma necessidade para todos na organização, com trabalhadores domésticos, não apenas organizações, sendo alvos de ataques cibernéticos.
“A autenticação multifator e a proteção por senha podem ajudar a proteger as informações pessoais dos trabalhadores remotos, e saber como identificar e-mails de phishing e esquemas de malvertising ajudará os funcionários a evitar cair nessas manobras de engenharia social”, diz ele.
Phishers adotando táticas APT sofisticadas
Kristina Balaam, pesquisadora sênior de ameaças de inteligência de ameaças da Lookout, diz que à medida que a conscientização do público em geral sobre ameaças de phishing aumenta, os agentes de ameaças parecem reconhecer que precisam melhorar suas táticas para comprometer seus alvos com sucesso.
“Os usuários estão se tornando mais perspicazes e conscientes dos riscos que as campanhas de phishing representam para sua segurança pessoal e financeira”, explica ela. “Quando o espelhamento de página é usado para ajudar a garantir que uma página de phishing reproduza de perto um portal de autenticação legítimo, é mais provável que os usuários confiem no aplicativo da Web e percam indicadores mais sofisticados de comprometimento.”
Ela acrescenta que, embora algumas campanhas de phishing possam usar marcas incorretas ou conter erros gramaticais extensos, essas páginas mais sofisticadas podem se revelar apenas por meio de indicadores menos óbvios, como domínios com erros ortográficos (ou seja, typosquatting ) ou certificados SSL ausentes.
“Os phishers pegam o que funciona e o amplificam. Se algo funciona, eles continuam”, diz Fuchs. “Dado que muitos desses ataques estão disponíveis como ‘kits’ para download, a barreira de entrada é muito menor.”
De sua perspectiva, isso significa que provavelmente haverá uma proliferação contínua desses tipos de ataques espalhados por vários grupos, tanto APT quanto não APT. Balaam concorda e diz acreditar que essa convergência reflete uma mudança na disposição dos agentes de ameaças financeiramente motivados para aumentar seus investimentos em suas campanhas para melhorar suas taxas de sucesso e gerar um maior retorno sobre seus investimentos.
“Para a segurança de TI, essa mudança parece estar nos levando a um aumento acentuado no número de usuários comuns visados por campanhas mais sofisticadas com TTPs anteriormente empregados principalmente por atores de APT”, diz ela.
Outras campanhas recentes de phishing da atual avalanche de ataques também mostram sofisticação cada vez maior, incluindo a campanha de spear phishing Ducktail e um kit de phishing que injeta malware em sites WordPress legítimos.
FONTE: DARK READING