Os golpes de phishing usam redirecionamentos para roubar credenciais do Office365 e do Facebook
Pesquisadores alertaram recentemente sobre duas operações massivas de phishing, visando coletivamente centenas de milhares de usuários – uma buscando credenciais para serviços de negócios como o Office 365 e a outra abusando do Facebook Messenger para perseguir cerca de 450.000 dos titulares de contas do gigante da mídia social.
Ativa desde a semana passada, com um grande aumento em 15 de outubro, a operação do Office 365 atingiu dezenas de milhares de caixas de entrada através de várias campanhas conectadas que falsificam aplicativos conhecidos, como Microsoft Office, Microsoft Teams e Zoom in, na esperança de que os usuários sejam enganados em divulgar seus nomes de usuário e senhas. Os executivos seniores e o pessoal financeiro foram identificados como alguns dos alvos da operação.
Descoberto por pesquisadores da GreatHorn, o golpe também visa infectar vítimas com JavaScript projetado para implantar vários malware, incluindo o trojan Cryxos.
De acordo com a F-Secure , os cavalos de Troia Cryxos são normalmente usados para conduzir golpes de suporte de chamada. Eles exibem “uma mensagem de notificação alarmante dizendo que o computador ou navegador do usuário foi ‘bloqueado’ devido a uma infecção de vírus e que seus dados pessoais estão ‘sendo roubados’. O usuário é então direcionado a ligar para um número de telefone para obter assistência no ‘processo de remoção’ ”.
As vítimas que clicam nos links maliciosos dos e-mails são enviadas diretamente para o kit de phishing, que se parece com uma página de login, ou são encaminhadas para lá por meio de domínios redirecionadores abertos e subsídios que os invasores comprometeram de marcas globais como a Sony, TripAdvisor, RAC, DigitalOcean e Google.
“O usuário em um ambiente corporativo provavelmente não será bloqueado de Sony.com quando clicar, e então ele irá redirecioná-lo para o ataque real e parecerá um login do Zoom ou do Office”, disse GreatHorn CEO Kevin O’Brien em entrevista à SC Media.
Os links podem ignorar os controles de segurança nativos oferecidos pelos provedores de e-mail das vítimas, e os redirecionamentos abertos parecem ser possíveis através dos servidores Apache, possivelmente devido a uma falha nas versões do Apache anteriores a 2.4.41, relata GreatHorn em uma postagem do blog da empresa .
GreatHorn aconselha equipes de segurança a pesquisarem nos e-mails de suas empresas por mensagens com URLs que correspondam à estrutura de nomenclatura do kit de phishing, que foi identificada como http: //t.****/r/, onde *** representa o domínio.
Nas postagens do blog de sua empresa, O’Brien chamou esse ataque de “um evento abrangente e significativo”.
“Parece algo oportuno e vimos isso chegar ao alto executivo no modo de ataque mundial. E vimos essas coisas redirecionando e pousando nas caixas de correio em todos os lugares que olhávamos ”, explicou O’Brien à SC Media.
Enquanto isso, a operação de phishing do Facebook, descoberta pela Cyberint, começou na última sexta-feira com uma campanha visando quase 500.000 vítimas em todo o mundo.
De acordo com uma postagem no blog da Cyberint , a isca chegaria via Facebook Messenger de um contato conhecido cuja conta já foi abusada. A comunicação sugere que o destinatário se parece com a mesma pessoa em um vídeo do YouTube, potencialmente estimulando a vítima em potencial a clicar no link e ver o vídeo.
Mas o link na verdade leva as vítimas a uma página de login falsa do Facebook na esperança de que os usuários insiram suas credenciais para que possam ser roubados. Antes de chegar à página de phishing, no entanto, os usuários são primeiro redirecionados para vários sites, incluindo um que verifica a largura da tela como um meio de determinar “se a vítima está usando um dispositivo móvel, provavelmente porque o ataque será menos perceptível” para os usuários móveis, a postagem do blog explica. Se a largura da tela for muito grande, o ataque será basicamente cancelado.
Depois que o esquema de phishing é concluído, a vítima é redirecionada novamente para o site legítimo da Google Play Store.
“É um dos ataques mais incomuns que vimos recentemente”, disse o pesquisador-chefe da Cyberint, Jason Hill, em um comunicado. “A vítima nunca foi devolvida ao site visado, então, neste ponto, podemos apenas especular que foi algum tipo de fraude de referência”, em que os sites intermediários possivelmente ganharam receita por atividades de usuários falsos.
A Cyberint diz que o Facebook “encerrou o ataque” depois que a empresa foi notificada do problema. Bit.ly e StackPath, cujos servidores estavam sendo abusados na cadeia de redirecionamento, também agiram imediatamente após serem notificados.
No início deste mês, a Menlo Security relatou que ciberataques visando a indústria da hospitalidade foram observados recentemente usando uma página de phishing que apresentava a tecnologia CAPTCHA como uma forma de evitar a detecção, bem como para dar às vítimas potenciais uma falsa sensação de segurança de que o site malicioso era legítimo.