Pesquisadores de cibersegurança alertaram para um aumento nas páginas de phishing criadas usando uma ferramenta de construção de sites chamada Webflow, à medida que os atores de ameaças continuam a abusar de serviços legítimos como Cloudflare e Microsoft Sway para sua vantagem.
"As campanhas miram informações sensíveis de diferentes carteiras de criptomoedas, incluindo Coinbase, MetaMask, Phantom, Trezor e Bitbuy, além de credenciais de login para várias plataformas de webmail empresarial, bem como credenciais de login do Microsoft 365," disse o pesquisador da Netskope Threat Labs, Jan Michael Alcantara, numa análise.
A empresa de cibersegurança disse que rastreou um aumento de 10 vezes no tráfego para páginas de phishing criadas usando Webflow entre abril e setembro de 2024, com os ataques visando mais de 120 organizações ao redor do mundo.
A maioria dos alvos está localizada na América do Norte e Ásia, abrangendo os setores de serviços financeiros, bancários e de tecnologia.
Os atacantes foram observados usando Webflow para criar páginas de phishing isoladas, bem como para redirecionar usuários desavisados a outras páginas de phishing sob seu controle.
"A primeira opção oferece aos atacantes discrição e facilidade, pois não há linhas de código de phishing para escrever e detectar, enquanto a última dá flexibilidade ao atacante para realizar ações mais complexas conforme necessário," disse Michael Alcantara.
O que torna Webflow muito mais atraente do que Cloudflare R2 ou Microsoft Sway é que ele permite aos usuários criar subdomínios personalizados sem custo adicional, ao contrário de subdomínios alfanuméricos aleatórios auto-gerados que são propensos a levantar suspeitas:
- Cloudflare R2 - https://pub-<32_string_alfanumérica>.r2.dev/webpage.htm
- Microsoft Sway - https://sway.cloud.microsoft/{16_string_alfanumérica}?ref={opção_de_compartilhamento}
Numa tentativa de aumentar a probabilidade de sucesso do ataque, as páginas de phishing são projetadas para imitar as páginas de login de seus homólogos legítimos para enganar os usuários a fornecerem suas credenciais, que são então exfiltradas para um servidor diferente em alguns casos.
A Netskope disse que também identificou sites de golpes com cripto Webflow que usam uma captura de tela da página inicial de uma carteira legítima como suas próprias páginas de destino e redirecionam o visitante para o site de golpe real ao clicar em qualquer lugar no site falso.
O objetivo final da campanha de phishing de cripto é roubar as frases-semente das vítimas, permitindo aos atacantes apossar-se do controle das carteiras de criptomoedas e drenar os fundos.
Nos ataques identificados pela firma de cibersegurança, usuários que acabam fornecendo a frase de recuperação recebem uma mensagem de erro informando que sua conta foi suspensa devido a "atividade não autorizada e falha de identificação".
A mensagem também pede que o usuário contate a equipe de suporte iniciando um chat online no tawk.to.
Vale ressaltar que serviços de chat como LiveChat, Tawk.to e Smartsupp têm sido usados indevidamente como parte de uma campanha de golpe com criptomoeda denominada CryptoCore pela Avast.
"Os usuários devem sempre acessar páginas importantes, como seu portal bancário ou webmail, digitando o URL diretamente no navegador da web, em vez de usar motores de busca ou clicar em quaisquer outros links," disse Michael Alcantara.
Esse desenvolvimento ocorre enquanto os cibercriminosos estão anunciando novos serviços anti-bot na dark web que afirmam contornar os avisos do Navegação Segura do Google no navegador web Chrome.
"Serviços anti-bot, como Otus Anti-Bot, Remove Red e Limitless Anti-Bot, tornaram-se um pilar das operações complexas de phishing," disse SlashNext em um relatório recente.
Esses serviços visam impedir que bots de segurança identifiquem páginas de phishing e as coloquem em listas de bloqueio. Filtrando bots de cibersegurança e disfarçando páginas de phishing de scanners, essas ferramentas estendem a vida útil de sites maliciosos, ajudando criminosos a evadir detecção por mais tempo.
Campanhas contínuas de malspam e malvertising também foram descobertas propagando uma malware em constante evolução chamada WARMCOOKIE (também conhecida como BadSpace), que então atua como um conduto para malwares como CSharp-Streamer-RAT e Cobalt Strike.
"WarmCookie oferece uma variedade de funcionalidades úteis para adversários incluindo implantação de payload, manipulação de arquivos, execução de comandos, coleta de capturas de tela e persistência, tornando-o atraente para uso em sistemas uma vez que o acesso inicial tenha sido obtido para facilitar um acesso persistente de longo prazo dentro de ambientes de rede comprometidos," disse Cisco Talos.
Uma análise do código-fonte sugere que o malware é provavelmente desenvolvido pelos mesmos atores de ameaças como Resident, um implante pós-compromisso implantado como parte de um conjunto de intrusão denominado TA866 (também conhecido como Asylum Ambuscade), ao lado do ladrão de informações Rhadamanthys.
Essas campanhas têm visado principalmente o setor de manufatura, seguido de perto pelos setores governamental e de serviços financeiros.
"Embora o direcionamento de longo prazo associado às campanhas de distribuição pareça indiscriminado, a maioria dos casos onde payloads subsequentes foram observados estavam nos Estados Unidos, com casos adicionais espalhados pelo Canadá, Reino Unido, Alemanha, Itália, Áustria e Países Baixos," disse Talos.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...