Uma campanha de phishing em andamento está se passando por marcas populares como Unilever, Disney, MasterCard, LVMH e Uber, utilizando falsos convites com temática do Calendly para roubar credenciais de contas do Google Workspace e Facebook Business.
Embora ataques a contas de gerenciadores de anúncios não sejam novidade, a campanha descoberta pela Push Security se destaca pelo alto grau de segmentação e uso de iscas profissionais, que aumentam significativamente as chances de sucesso.
O acesso a contas de marketing oferece aos criminosos uma base para lançarem campanhas de malvertising, ataques AiTM (Adversary-in-the-Middle) de phishing, disseminação de malware e ataques do tipo ClickFix.
Além disso, as plataformas de anúncios permitem segmentação geográfica, filtragem por domínio e direcionamento específico por dispositivo, favorecendo ataques do tipo watering-hole, em que o alvo é direcionado a um ambiente controlado pelo invasor.
Contas de marketing comprometidas também podem ser revendidas no mercado criminoso, tornando a monetização direta uma possibilidade constante.
Contas do Google Workspace, por sua vez, costumam estar conectadas a ambientes corporativos e dados sensíveis, especialmente quando integradas via SSO (Single Sign-On) e configurações permissivas de IdP (Identity Provider).
O Calendly é uma plataforma legítima para agendamento online, que permite ao organizador da reunião enviar um link para os convidados escolherem um horário disponível.
Embora já tenha sido usada em ataques de phishing antes, o uso de marcas reconhecidas para explorar a confiança dos usuários reforça a eficácia desta campanha.
O ataque começa com o invasor se passando por recrutador de uma marca conhecida e enviando um convite falso para reunião.
As páginas de phishing também imitam funcionários reais dessas empresas.
Os e-mails de phishing foram provavelmente criados com auxílio de ferramentas de inteligência artificial e imitam mais de 75 marcas, incluindo LVMH, Lego, MasterCard e Uber.
Ao clicar no link, a vítima é direcionada para uma página falsa do Calendly que apresenta um CAPTCHA, seguida por uma página AiTM que tenta capturar sessões de login do Google Workspace.
A Push Security confirmou, em conversa com o BleepingComputer, que o foco da campanha é atingir contas Google MCC (My Client Center) de gerenciadores de anúncios, com base em relatos de organizações afetadas.
Foram identificadas 31 URLs únicas relacionadas a essa campanha e, com investigação aprofundada, os pesquisadores descobriram variantes adicionais.
Uma delas se faz passar por Unilever, Disney, Lego e Artisan para roubar credenciais de contas do Facebook Business.
Outra variante recente utiliza ataques do tipo Browser-in-the-Browser (BitB), que exibem janelas falsas sobrepostas com URLs legítimos para enganar a vítima e capturar credenciais tanto do Google quanto do Facebook.
As páginas de phishing adotam mecanismos anti-análise, bloqueando tráfego de VPN e proxy, além de impedir a abertura de ferramentas de desenvolvedor no navegador.
Simultaneamente, a Push Security identificou outra campanha de malvertising focada em contas do Google Ads Manager.
Nela, usuários que buscavam por “Google Ads” no próprio Google Search encontravam anúncios patrocinados maliciosos.
Esses anúncios redirecionavam para páginas falsas com temática do Google Ads, que posteriormente levavam a um phishing AiTM simulando a tela de login do Google.
Diversas instâncias desse tipo de campanha foram descobertas, hospedadas em plataformas como Odoo e, em alguns casos, roteadas via Kartra.
Campanhas semelhantes contra contas de gerenciadores de anúncios já foram registradas anteriormente, mas continuam bastante lucrativas para os criminosos.
Como ataques AiTM conseguem contornar a autenticação em duas etapas (2FA), especialistas recomendam o uso de chaves de segurança físicas (hardware security keys), atenção redobrada ao verificar URLs antes de inserir credenciais e a tática de arrastar janelas de login para a borda da tela do navegador, para confirmar que são legítimas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...