Executivos seniores que trabalham em organizações baseadas nos EUA estão sendo alvo de uma nova campanha de phishing que utiliza um popular kit de ferramentas de phishing chamado Adversário-no-Meio (AiTM, na sigla em inglês) chamado EvilProxy para realizar ataques de colheita de credenciais e de invasão de contas.
A Menlo Security informou que a atividade começou em julho de 2023, visando principalmente os setores bancário e financeiro, seguradoras, gestão de propriedades e imobiliário, e setor de manufatura.
"Os atores da ameaça aproveitaram uma vulnerabilidade de redirecionamento aberto na plataforma de busca de emprego 'indeed.com', redirecionando as vítimas para páginas de phishing maliciosas que se passam por Microsoft", informou o pesquisador de segurança Ravisankar Ramprasad em um relatório publicado na última semana.
EvilProxy, documentando pela Resecurity em setembro de 2022, funciona como um proxy reverso que é configurado entre o alvo e uma página de login legítima para interceptar credenciais, códigos de autenticação de dois fatores (2FA) e cookies de sessão para sequestrar contas de interesse.
Os atores da ameaça por trás do kit de ferramentas de phishing AiTM são rastreados pela Microsoft sob a alcunha Storm-0835 e estima-se que tenham centenas de clientes.
"Esses cibercriminosos pagam taxas de licença mensais que variam de $200 a $1,000 USD e realizam campanhas de phishing diárias", disse a gigante da tecnologia.
"Por tantos atores de ameaças usarem esses serviços, é impraticável atribuir campanhas a atores específicos."
No último conjunto de ataques documentado pela Menlo Security, as vítimas são enviadas por e-mail com um link enganoso apontando para o Indeed, que, por sua vez, redireciona o indivíduo para uma página EvilProxy para colher as credenciais inseridas.
Isso é conseguido aproveitando uma falha de redirecionamento aberto, que ocorre quando a falha em validar a entrada do usuário faz com que um site vulnerável redirecione os usuários para páginas web arbitrárias, burlando as balizas de segurança.
"O subdomínio 't.indeed[.]com' é fornecido com parâmetros para redirecionar o cliente para outro alvo (example[.]com)", disse Ramprasad.
"Os parâmetros na URL que seguem o '?' são uma combinação de parâmetros únicos para o indeed.com e o parâmetro de destino cujo argumento consiste no URL de destino.
Portanto, o usuário, ao clicar na URL, acaba sendo redirecionado para example[.]com.
Em um ataque real, o usuário seria redirecionado para uma página de phishing."
O desenvolvimento chega enquanto atores de ameaças estão utilizando o Dropbox para criar páginas falsas de login com URLs incorporadas que, quando clicadas, redirecionam os usuários para sites falsos projetados para roubar credenciais de contas da Microsoft como parte de um esquema de comprometimento de e-mail comercial (BEC).
"É mais um exemplo de como os hackers estão utilizando serviços legítimos no que chamamos de ataques BEC 3.0", disse a Check Point.
"Esses ataques são incrivelmente difíceis de parar e identificar, tanto para serviços de segurança quanto para usuários finais."
A Microsoft, em seu Relatório de Defesa Digital, observou como "atores de ameaças estão adaptando suas técnicas de engenharia social e uso da tecnologia para realizar ataques BEC mais sofisticados e caros" abusando da infraestrutura baseada em nuvem e explorando relacionamentos comerciais confiáveis.
Isso também ocorre quando o Serviço de Polícia da Irlanda do Norte alertou sobre um aumento em e-mails de phishing, que envolvem o envio de um e-mail com um documento PDF ou arquivo de imagem PNG contendo um código QR na tentativa de contornar a detecção e enganar as vítimas a visitar sites maliciosos e páginas de colheita de credenciais.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...