0
0
Como aconteceu com outras tecnologias da Web projetadas para uso legítimo, a rede peer-to-peer do InterPlanetary File System (IPFS) para armazenar e acessar conteúdo de forma descentralizada tornou-se uma nova arma potente para ataques cibernéticos.
Pesquisadores da Cisco Talos relataram esta semana a observação de várias campanhas maliciosas aproveitando o IPFS para hospedar kits de phishing e cargas de malware. Para muitos invasores, o IPFS se tornou o equivalente a um provedor de hospedagem à prova de balas que é principalmente impermeável aos esforços de remoção, disse Talos. Para complicar as coisas para os defensores é o fato de que o IPFS é frequentemente usado para fins legítimos. Portanto, diferenciar entre atividade IPFS benigna e maliciosa é outro desafio, disse o fornecedor de segurança.
“As organizações devem se familiarizar com essas novas tecnologias e como elas estão sendo aproveitadas por agentes de ameaças para se defender contra novas técnicas que as utilizam”, disse Talos em um relatório resumindo a ameaça.
Ameaça Crescente
Isso marca pelo menos a segunda vez nos últimos meses que os pesquisadores soaram o alarme sobre o IPFS se tornar um foco de atividade de crimes cibernéticos.
Em julho, o SpiderLabs da Trustwave observou como seus pesquisadores identificaram mais de 3.000 e-mails com URLs de phishing hospedados no IPFS em um período de três meses. As páginas de phishing observadas no IPFS incluíam aquelas que falsificavam as páginas de login do Microsoft Outlook, domínios do Google e serviços de armazenamento em nuvem, como Filebase.io e nftstorage.link. “As técnicas de phishing deram um salto ao utilizar o conceito de serviços de nuvem descentralizados usando IPFS”, disse Trustwave. O crescente uso do IPFS por muitas empresas de armazenamento de arquivos, hospedagem na Web e serviços em nuvem significa que os invasores têm muito mais flexibilidade na criação de novos URLs de phishing que não podem ser facilmente bloqueados, disse o fornecedor de segurança.
O IPFS é um sistema de compartilhamento de arquivos ponto a ponto que a Protocol Labs lançou em 2015. A rede foi projetada para permitir o armazenamento descentralizado de conteúdo. O conteúdo armazenado no IPFS é espelhado em vários nós ou sistemas que participam da rede. Indivíduos e outros podem usar o IPFS para armazenar diferentes tipos de dados, incluindo páginas da Web, arquivos, NFTs e documentos.
Os recursos armazenados no IPFS recebem identificadores exclusivos. Os usuários podem empregar o identificador para acessar o conteúdo por meio de clientes ou gateways IPFS, que são como gateways para acessar conteúdo na rede Tor. Como o conteúdo é espelhado no IPFS, ele está sempre disponível mesmo que um nó fique inativo.
Isso tornou o IPFS uma opção atraente para hospedar kits de phishing e malware para cibercriminosos. Como o conteúdo do IPFS não possui um endereço IP estático, ele não pode ser bloqueado usando mecanismos padrão de bloqueio de IP e lista negra. Da mesma forma, derrubar um nó contendo páginas de phishing e malware faz pouco para neutralizar uma ameaça porque o conteúdo é espelhado em vários nós. Também não há autoridade central no IPFS que os fornecedores de segurança ou de aplicação da lei possam entrar em contato para derrubar um site de distribuição de phishing ou malware.
Em um exemplo de como os invasores estão abusando do IPFS, Talos apontou para uma campanha de phishing na qual as vítimas recebem um e-mail com um PDF anexado que supostamente está associado ao serviço de assinatura de documentos DocuSign. Quando um usuário clica no link “Revisar documento”, ele é direcionado para uma página da Web que parece ser uma página de autenticação legítima da Microsoft, mas na verdade é uma página de coleta de credenciais hospedada na rede IPFS.
Em situações em que um gateway IPFS pode reconhecer o recurso solicitado como malicioso e bloquear o acesso, o invasor simplesmente altera o gateway IPFS usado para recuperar o conteúdo, disse Talos.
Phishing não é a única ameaça
As páginas de phishing não são a única ameaça. Um número crescente de invasores também está aproveitando a rede ponto a ponto para distribuir cargas maliciosas.
Em uma campanha que os pesquisadores do Talos observaram, o invasor enviou às vítimas um e-mail de phishing com um anexo ZIP contendo um dropper de malware na forma de um executável PE32. Quando executado, o downloader alcança um gateway IPFS e recupera uma carga de malware de segundo estágio hospedada na rede ponto a ponto. A cadeia de ataque terminou com o Trojan de acesso remoto Agent Tesla sendo lançado no sistema da vítima.
Os pesquisadores do Talos também encontraram uma ferramenta de malware destrutiva de limpeza de disco e um ladrão de informações completo chamado Hannabi Grabber hospedado em nós IPFS.
“Muitas novas tecnologias Web3 surgiram recentemente, tentando fornecer funcionalidades valiosas aos usuários”, disse Talos no relatório. “Como essas tecnologias continuaram a ter uma adoção crescente para fins legítimos, elas também começaram a ser aproveitadas por adversários”.
Os pesquisadores esperam que a tendência ganhe força à medida que mais agentes de ameaças perceberem que o IPFS é resiliente à moderação de conteúdo e aos esforços de remoção.
“As organizações devem estar cientes de como essas tecnologias emergentes estão sendo usadas ativamente no cenário de ameaças e avaliar a melhor forma de implementar controles de segurança para prevenir ou detectar ataques bem-sucedidos em seus ambientes”, disse o fornecedor.
FONTE: DARK READING