Pesquisadores de cibersegurança descobriram que agentes mal-intencionados continuam tendo sucesso ao forjar endereços de e-mail de remetentes como parte de várias campanhas de malspam.
Falsificar o endereço do remetente de um e-mail é amplamente visto como uma tentativa de tornar a mensagem digital mais legítima e passar por mecanismos de segurança que poderiam, de outra forma, marcá-la como maliciosa.
Embora existam salvaguardas, como DomainKeys Identified Mail (DKIM), Domain-based Message Authentication, Reporting and Conformance (DMARC) e Sender Policy Framework (SPF), que podem ser usadas para evitar que spammers forjem domínios bem-conhecidos, tais medidas têm, cada vez mais, levado-os a aproveitar domínios antigos e negligenciados em suas operações.
Fazendo isso, as mensagens de e-mail são propensas a burlar verificações de segurança que dependem da idade do domínio como meio de identificar spam.
A empresa de inteligência de ameaças DNS, Infoblox, em uma nova análise compartilhada, descobriu que agentes de ameaças, incluindo Muddling Meerkat e outros, abusaram de alguns de seus próprios domínios de nível superior (TLDs) antigos e desativados que não foram usados para hospedar conteúdo por quase 20 anos.
"Eles carecem da maioria dos registros DNS, incluindo aqueles que são tipicamente usados para verificar a autenticidade de um domínio remetente, por exemplo, registros Sender Policy Framework (SPF)", disse a empresa.
Os domínios são curtos e em TLDs altamente reputados.
Uma dessas campanhas, ativa desde pelo menos dezembro de 2022, envolve a distribuição de mensagens de e-mail com anexos contendo códigos QR que levam a sites de phishing.
Ela também instrui os destinatários a abrir o anexo e usar os aplicativos AliPay ou WeChat em seus telefones para escanear o código QR.
Os e-mails usam iscas relacionadas a impostos escritas em mandarim, enquanto também bloqueiam os documentos de código QR por trás de uma senha de quatro dígitos incluída no corpo do e-mail de diferentes maneiras.
O site de phishing, em um caso, instava os usuários a inserir seus detalhes de identificação e cartão e, em seguida, fazer um pagamento fraudulento ao atacante.
"Embora as campanhas usem os domínios negligenciados que vemos com Muddling Meerkat, elas parecem falsificar amplamente domínios aleatórios, até mesmo aqueles que não existem", explicou a Infoblox.
O ator pode usar esta técnica para evitar e-mails repetidos do mesmo remetente. A empresa também observou campanhas de phishing que se passam por marcas populares como Amazon, Mastercard e SMBC para redirecionar vítimas para páginas de login falsas usando sistemas de distribuição de tráfego (TDSes) com o objetivo de roubar suas credenciais.
Alguns dos endereços de e-mail que foram identificados como usando domínios de remetentes falsificados estão listados abaixo:
- [email protected][.]org
- [email protected][.]com
- [email protected][.]com
- [email protected][.]com
- [email protected][.]com
- [email protected][.]net
- [email protected][.]com
Uma terceira categoria de spam está relacionada à extorsão, na qual os destinatários de e-mails são solicitados a fazer um pagamento de $1.800 em Bitcoin para deletar vídeos constrangedores de si mesmos que foram gravados usando um suposto trojan de acesso remoto instalado em seus sistemas.
"O ator falsifica o próprio endereço de e-mail do usuário e o desafia a verificar", disse a Infoblox.
O e-mail informa ao usuário que seu dispositivo foi comprometido e, como prova, o ator alega que a mensagem foi enviada da própria conta do usuário." A divulgação ocorre enquanto os setores jurídico, governamental e de construção têm sido alvo de uma nova campanha de phishing apelidada de Butcher Shop que visa roubar credenciais do Microsoft 365 desde o início de setembro de 2024.
Os ataques, segundo a Obsidian Security, abusam de plataformas confiáveis como Canva, Dropbox DocSend e Google Accelerated Mobile Pages (AMPs) para redirecionar os usuários para os sites maliciosos.
Alguns dos outros canais incluem e-mails e sites WordPress comprometidos.
"Antes de exibir a página de phishing, uma página personalizada com um Cloudflare Turnstile é mostrada para verificar se o usuário é, de fato, humano", disse a empresa.
Esses turnstiles tornam mais difícil para os sistemas de proteção de e-mail, como scanners de URL, detectarem sites de phishing. Nos últimos meses, campanhas de phishing via SMS têm sido observadas se passando por autoridades da aplicação da lei nos E.A.U. para enviar solicitações de pagamento falsas por violações de trânsito inexistentes, violações de estacionamento e renovações de licença.
Alguns dos sites falsos criados para esse propósito foram atribuídos a um conhecido ator de ameaça chamado Smishing Triad.
Clientes bancários no Oriente Médio também foram alvos de um esquema sofisticado de engenharia social que se passa por oficiais do governo em ligações telefônicas e emprega software de acesso remoto para roubar informações de cartão de crédito e senhas de uso único (OTPs).
A campanha, avaliada como obra de falantes nativos de árabe desconhecidos, foi encontrada principalmente direcionada contra consumidoras que tiveram seus dados pessoais vazados através de malware stealer na dark web.
"O golpe especificamente visa indivíduos que anteriormente enviaram reclamações comerciais ao portal de serviços do governo, seja pelo seu site ou aplicativo móvel, em relação a produtos ou serviços comprados de comerciantes online", disse a Group-IB em uma análise publicada hoje.
Os fraudadores exploram a disposição das vítimas em cooperar e seguir suas instruções, esperando receber reembolsos por suas compras insatisfatórias.
Outra campanha identificada pela Cofense envolve o envio de e-mails que alegam ser da Administração da Seguridade Social dos Estados Unidos que incorpora um link para baixar um instalador para o software de acesso remoto ConnectWise ou direciona as vítimas para páginas de captura de credenciais.
O desenvolvimento ocorre enquanto domínios genéricos de nível superior (gTLDs) como .top, .xyz, .shop, .vip e .club foram responsáveis por 37% dos domínios de cibercrime reportados entre setembro de 2023 e agosto de 2024, apesar de deterem apenas 11% do total do mercado de nomes de domínio, de acordo com um relatório do Interisle Consulting Group.
Esses domínios tornaram-se lucrativos para atores maliciosos devido a preços baixos e a falta de requisitos de registro, abrindo portas para abusos.
Entre os gTLDs amplamente utilizados para cibercrime, 22 ofereciam taxas de registro inferiores a $2.00.
Atuores de ameaças também foram descobertos anunciando um plugin WordPress malicioso chamado PhishWP que pode ser usado para criar páginas de pagamento personalizáveis imitando processadores de pagamento legítimos como Stripe para roubar dados pessoais e financeiros via Telegram.
"Os atacantes podem comprometer sites WordPress legítimos ou configurar fraudulentos para instalar isto", disse a SlashNext em um novo relatório.
Após configurar o plugin para imitar um gateway de pagamento, usuários desavisados são atraídos a inserir seus detalhes de pagamento.
O plugin coleta essa informação e a envia diretamente para os atacantes, frequentemente em tempo real.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...