Atores de ameaças abusam do Google AMP para ataques de phishing evasivos
2 de Agosto de 2023

Pesquisadores de segurança estão alertando sobre um aumento na atividade de phishing que abusa do Google Accelerated Mobile Pages (AMP) para burlar medidas de segurança de e-mail e chegar às caixas de entrada dos funcionários da empresa.

O Google AMP é um framework HTML de código aberto co-desenvolvido pelo Google e 30 parceiros para fazer com que o conteúdo da web carregue mais rápido em dispositivos móveis.

As páginas AMP são hospedadas nos servidores do Google, onde o conteúdo é simplificado e alguns dos elementos de mídia mais pesados são pré-carregados para uma entrega mais rápida.

A ideia de usar URLs do Google AMP incorporadas em e-mails de phishing é garantir que a tecnologia de proteção de e-mail não marque as mensagens como maliciosas ou suspeitas devido à boa reputação do Google.

As URLs do AMP acionam um redirecionamento para um site de phishing malicioso, e esta etapa adicional também adiciona uma camada de interrupção da análise.

Dados da empresa de proteção contra phishing Cofense mostram que o volume de ataques de phishing utilizando o AMP aumentou significativamente em meados de julho, sugerindo que os atores de ameaças podem estar adotando o método.

"De todas as URLs do Google AMP que observamos, aproximadamente 77% foram hospedadas no domínio do Google, e 23% foram hospedadas no domínio do Google no Reino Unido", explica Cofense no relatório.

Embora o caminho "/amp/s/" seja comum em todos os casos, bloqueá-lo também afetaria todos os casos legítimos de uso do Google AMP.

No entanto, marcá-los pode ser a ação mais apropriada, para pelo menos alertar os destinatários a ficarem atentos a possíveis redirecionamentos maliciosos.

A Cofense diz que os atores de phishing que abusam do serviço Google AMP também empregam uma série de técnicas adicionais que juntas ajudam a evitar a detecção e aumentam sua taxa de sucesso.

Por exemplo, em muitos casos observados pela Cofense, os atores de ameaças usaram e-mails HTML baseados em imagens em vez de um corpo de texto tradicional.

Isso é para confundir os scanners de texto que procuram termos comuns de phishing no conteúdo da mensagem.

Em outro exemplo, os invasores usaram uma etapa extra de redirecionamento, abusando de uma URL da Microsoft para levar a vítima a um domínio Google AMP e, eventualmente, ao site de phishing real.

Finalmente, os invasores usaram o serviço CAPTCHA da Cloudflare para frustrar a análise automatizada das páginas de phishing pelos bots de segurança, impedindo que os rastreadores cheguem a eles.

No geral, os atores de phishing hoje empregam múltiplos métodos de evasão de detecção que tornam cada vez mais difícil para os alvos e ferramentas de segurança capturar as ameaças e bloqueá-las.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...