0
0
Os invasores estão falsificando o Google Tradutor em uma campanha de phishing em andamento que usa uma técnica comum de codificação JavaScript para contornar os scanners de segurança de e-mail. Aproveitar a confiança no Google Tradutor é uma abordagem nunca antes vista, disseram os pesquisadores.
Pesquisadores da Avanan, uma Check Point Software Company, descobriram a campanha, que usa a técnica de codificação para ofuscar sites de phishing para fazê-los parecer legítimos para o usuário final, bem como enganar os gateways de segurança. O phish também usa táticas de engenharia social para convencer os usuários de que precisam responder rapidamente a um e-mail ou enfrentar o fechamento de uma conta, de acordo com um post publicado hoje.
As mensagens direcionam um usuário para um link que o direciona para uma página de coleta de credenciais que parece ser uma página legítima do Google Tradutor, com um campo de e-mail pré-preenchido que exige apenas que uma pessoa digite sua senha para fazer login.
A campanha é um exemplo de uma série de táticas atuais e cada vez mais sofisticadas que os agentes de ameaças estão usando em campanhas de phishing contemporâneas para enganar usuários finais mais experientes que se familiarizaram com táticas maliciosas, bem como scanners de e-mail que excluem mensagens suspeitas antes de passar, observou Jeremy Fuchs, pesquisador e analista de segurança cibernética da Avanan.
“Este ataque tem um pouco de tudo”, escreveu ele no post. “Ele tem engenharia social única no front-end. Ele aproveita um site legítimo para ajudar a entrar na caixa de entrada. Ele usa truques e ofuscação para confundir os serviços de segurança.”
“Pedido Urgente”
Os pesquisadores observaram um e-mail em espanhol sendo usado na campanha, que começa – como a maioria das mensagens de phishing – com engenharia social.
Nesse caso, os hackers fazem um “súplica urgente” para que um usuário confirme o acesso à sua conta, informando que estão perdendo e-mails importantes e têm apenas 48 horas para analisá-los antes de serem excluídos.
“Essa é uma mensagem convincente que pode levar alguém a agir”, observou Fuchs.
Ao morder a isca, o link direciona a vítima para uma página de login que é uma página parecida com o Google Tradutor “bastante convincente”, completa com o logotipo típico no canto superior esquerdo da página e uma lista suspensa de idiomas. Uma inspeção mais detalhada mostra que o URL não tem nada a ver com o Google Tradutor, no entanto, observaram os pesquisadores.
O código em segundo plano torna ainda mais aparente que a página é falsa, com o “HTML que transforma este site em um parecido com o Google Tradutor “, escreveu Fuchs.
Um dos comandos JavaScript que os hackers usam aqui é a “função unescape “, que é “um comando clássico que ajuda a ofuscar o verdadeiro significado da página”, escreveu ele.
Unescape é uma função em JavaScript que calcula uma nova string na qual as sequências de escape hexadecimais são substituídas pelo caractere que ela representa. A função pode ser usada em uma página da Web para mostrar a página como uma coisa, mas, quando decodificada, mostra um “bando de rabiscos” que pode enganar a segurança do e-mail, de acordo com um vídeo sobre a campanha de phishing postado por Avanan.
“Este ataque requer vigilância por parte do usuário final e processamento avançado de linguagem natural por parte do serviço de segurança para parar”, observou Fuchs no post.
Phishers girando para o sucesso
De fato, como os usuários da Internet já estão familiarizados com as táticas comuns que os agentes de ameaças usam para enganá-los a fornecer credenciais para páginas de phishing, os agentes estão cada vez mais adotando novas táticas ou combinando as comuns de diferentes maneiras para ajudar a garantir o sucesso de sua atividade cibercriminosa. disseram os pesquisadores.
Recentemente, os invasores foram vistos usando de tudo, desde mensagens com temas de voz a faturas falsificadas do PayPal , aproveitando a guerra em andamento na Ucrânia para fazer com que usuários de e-mail involuntários morram a isca de phishing.
Mesmo com o aumento da sofisticação, no entanto, as precauções usuais que todos os usuários da Internet e profissionais de segurança devem tomar para evitar entregar suas credenciais a phishers ainda se aplicam – não apenas no caso da campanha do Google Tradutor, mas em geral, de acordo com Avana.
Os pesquisadores recomendam que as pessoas sempre passem o mouse sobre os URLs encontrados nas mensagens antes de clicar neles para garantir que o destino seja legítimo, além de prestar mais atenção à gramática, ortografia e inconsistências factuais em um e-mail antes de confiar nele.
E, como sempre, os usuários também devem colocar o bom senso básico em jogo ao lidar com e-mails de entidades desconhecidas, disseram os pesquisadores. Se eles tiverem dúvidas sobre de onde vêm ou suas intenções, eles devem perguntar ao remetente original para ter certeza antes de tomar outras ações.
FONTE: DARK READING