0
0
O InterPlanetary File System (IPFS) distribuído ponto a ponto (P2P) tornou-se um foco de armazenamento de sites de phishing: milhares de e-mails contendo URLs de phishing utilizando IPFS estão aparecendo nas caixas de entrada corporativas.
De acordo com um relatório da Trustwave SpiderLabs, a empresa encontrou mais de 3.000 desses e-mails em sua telemetria de clientes nos últimos três meses. Eles levam as vítimas a páginas de login falsas do Microsoft Outlook e outras páginas de phishing.
As vantagens astronômicas do IPFS
O IPFS usa conexões P2P para compartilhamento de arquivos e serviços, em vez de um recurso URI estático demarcado por um host e caminho HTTP, de acordo com a análise de quinta -feira – o que oferece grandes benefícios para usuários mal-intencionados.
Pela primeira vez, o IPFS foi projetado para ser resistente à censura, disponibilizando conteúdo em vários locais – o que significa que, mesmo que um site de phishing seja removido de um local, ele pode ser distribuído rapidamente para outros locais. Isso torna muito difícil interromper uma campanha de phishing depois de iniciada.
“Em uma rede centralizada, os dados não são acessíveis se o servidor estiver inativo ou se um link for quebrado. Já com o IPFS, os dados são persistentes”, observa o relatório. “Naturalmente, isso se estende ao conteúdo malicioso armazenado na rede.”
O P2P também oferece a esses phishers uma camada adicional (e potencialmente várias camadas) de ofuscação porque o conteúdo não tem um endereço estático e bloqueável – e isso aumenta a probabilidade de e-mails de phishing escaparem dos scanners e chegarem à caixa de entrada da vítima.
“Então, além dos benefícios para os invasores [relacionados a] ‘serviços de nuvem tradicionais’, essa camada de ofuscação fornece aos invasores benefícios adicionais”, disse Karl Sigler, gerente sênior de pesquisa de segurança da Trustwave SpiderLabs, à Dark Reading.
Além disso, como o IPFS é um sistema descentralizado, significa que não há autoridade central que possa derrubar um site de phishing. Isso torna muito mais difícil para os pesquisadores de segurança e de aplicação da lei derrubar sites de phishing hospedados no IPFS.
“Isso representa uma evolução significativa no phishing, pois agora é muito mais difícil derrubar sites de phishing e bloquear o acesso a eles”, diz Atif Mushtaq, fundador e diretor de produtos da SlashNext, uma empresa anti-phishing. “As organizações precisam estar cientes desse novo desenvolvimento e ajustar suas defesas de acordo.”
Ele explica que uma maneira de fazer isso é usar o DNS sinkholing para bloquear o acesso a sites de phishing baseados em IPFS. Essa é uma técnica em que as solicitações de DNS para um site de phishing são redirecionadas para um servidor fictício.
“Isso impede que os usuários acessem o site de phishing, pois eles só poderão acessar o servidor fictício”, diz Mushtaq. “As organizações também podem usar filtros da Web para bloquear o acesso a sites de phishing baseados em IPFS.”
Táticas IPFS mais sofisticadas que provavelmente surgirão
Mushtaq alerta que os phishers podem começar a usar métodos ainda mais sofisticados para replicar sites, como o uso de tabelas de hash distribuídas (DHTs), um tipo de estrutura de dados que é frequentemente usado em sistemas P2P, que fornecem uma maneira de distribuir dados em muitas máquinas diferentes.
Sigler diz que provavelmente haverá uma maior adoção do IPFS por agentes mal-intencionados, o que terá o efeito de tornar a técnica mais comum e provavelmente mais fácil de detectar.
“No entanto, com mais foco desses invasores, provavelmente veremos mais criatividade e o IPFS utilizado de maneiras que ainda não vimos”, acrescenta.
Phishing sobrecarrega organizações
Os ataques de phishing já estão causando enormes dores de cabeça de segurançapara as organizações: nesta semana, o Ducktail foi descoberto visando profissionais de marketing e RH por meio do LinkedIn para sequestrar contas do Facebook . E no início deste mês, a Microsoft anunciou que 10.000 organizações foram alvo de um ataque de phishing que falsificou uma página de autenticação do Office 365 para roubar credenciais.
Sigler explica que usar IPFS para ofuscação pode fornecer aos administradores de segurança um novo vetor de ataque que eles podem não ter considerado antes.
“Recomendamos educar você e sua equipe sobre como o IPFS funciona e dar uma olhada nos exemplos específicos na postagem do blog sobre como o IPFS é utilizado de maneiras específicas”, diz ele. “Dado como está sendo utilizado por campanhas de phishing no momento, também recomendamos o monitoramento de e-mails inesperados para URLs que contenham ponteiros IPFS.”
Mike Parkin, engenheiro técnico sênior da Vulcan Cyber, fornecedora de SaaS para remediação de riscos cibernéticos corporativos, diz que a primeira resposta com phishing é sempre a mesma: melhor educação do usuário.
“Um phisher, em qualquer uma de suas inúmeras formas, depende de um alvo não estar atento e cair na isca”, explica ele. “Aqui, os invasores estão usando o IPFS para ajudar a ocultar sua origem, mas um usuário preparado deve ser capaz de ver através do ardil e não morder a isca”.
Ele ressalta que é difícil dizer como os agentes de ameaças alterarão suas técnicas daqui para frente.
“À medida que as ferramentas defensivas ficam melhores, os atacantes se adaptam e melhoram seu jogo. O desafio é educar os usuários para reconhecer esses ataques e não morder a isca”, explica. “A migração para o IPFS para distribuição oferece algumas vantagens aos agentes de ameaças, mas não muda o fato de que muitos desses ataques dependem de a vítima não perceber que está sendo atacada.”
FONTE: DARK READING