Pesquisadores de cibersegurança descobriram uma campanha de malvertising que está visando anunciantes da Microsoft com anúncios falsos do Google, que têm como objetivo direcioná-los a páginas de phishing capazes de coletar suas credenciais.
"Esses anúncios maliciosos, que aparecem na Pesquisa Google, são projetados para roubar as informações de login dos usuários que tentam acessar a plataforma de publicidade da Microsoft", disse Jérôme Segura, diretor sênior de pesquisa na Malwarebytes, em um relatório na quinta-feira(30).
Os achados vieram algumas semanas após a empresa de cibersegurança expor uma campanha semelhante que utilizava Google Ads patrocinados para visar indivíduos e empresas que anunciam pela plataforma de publicidade do gigante da busca.
O conjunto mais recente de ataques mira usuários que pesquisam por termos como "Microsoft Ads" no Google Search, na esperança de enganá-los para clicarem em links maliciosos veiculados na forma de anúncios patrocinados nas páginas de resultados de busca.
Ao mesmo tempo, os agentes de ameaças por trás da campanha empregam várias técnicas para evitar detecção por ferramentas de segurança.
Isso inclui redirecionar tráfego originado de VPNs para um site de marketing falso.
Visitantes do site também enfrentam desafios do Cloudflare numa tentativa de filtrar bots.
Por último, mas não menos importante, usuários que tentam visitar diretamente a página de destino final ("ads.mcrosoftt[.]com") são rickrolados, sendo redirecionados para um vídeo no YouTube ligado ao famoso meme da internet.
A página de phishing é uma versão semelhante à sua contraparte legítima ("ads.microsoft[.]com") que é projetada para capturar as credenciais de login do usuário e códigos de autenticação de dois fatores (2FA), concedendo aos atacantes a capacidade de sequestrar suas contas.
A Malwarebytes disse que identificou infraestrutura de phishing adicional visando contas da Microsoft remontando a alguns anos, sugerindo que a campanha está em andamento há algum tempo e que também pode ter visado outras plataformas de publicidade como a Meta.
Outro aspecto notável é que a maioria dos domínios de phishing está hospedada no Brasil ou possui o domínio de topo ".com.br", desenhando paralelos com a campanha destinada aos usuários do Google Ads, que foi predominantemente hospedada no TLD ".pt".
A divulgação segue a emergência de uma campanha de phishing via SMS que emprega engodos de entrega de pacote falhida para visar exclusivamente usuários de dispositivos móveis, se passando pelo Serviço Postal dos Estados Unidos (USPS).
"Esta campanha emprega táticas sofisticadas de engenharia social e um meio nunca antes visto de ofuscação para entregar arquivos PDF maliciosos projetados para roubar credenciais e comprometer dados sensíveis", disse o pesquisador da Zimperium zLabs, Fernando Ortega, em um relatório publicado esta semana.
As mensagens instam os destinatários a abrir um arquivo PDF acompanhante para atualizar seu endereço para completar a entrega.
Presente dentro do documento PDF está um botão "Clique para Atualizar" que direciona a vítima a uma página de phishing da USPS, onde lhes é pedido que insiram seu endereço de correspondência, endereço de e-mail e número de telefone.
A página de phishing também está equipada para capturar detalhes do cartão de pagamento sob o pretexto de uma taxa de serviço para reentrega.
Os dados inseridos são então criptografados e transmitidos para um servidor remoto sob o controle do atacante.
Até 20 PDFs maliciosos e 630 páginas de phishing foram detectados como parte da campanha, indicando uma operação em larga escala.
"Os PDFs usados nesta campanha embutem links clicáveis sem utilizar a tag /URI padrão, tornando mais desafiador extrair URLs durante a análise", observou Ortega.
"Este método permitiu que URLs maliciosos conhecidos dentro de arquivos PDF escapassem da detecção por várias soluções de segurança de endpoint".
A atividade é um sinal de que os criminosos cibernéticos estão explorando lacunas de segurança em dispositivos móveis para realizar ataques de engenharia social que se aproveitam da confiança dos usuários em marcas populares e comunicações com aparência oficial.
Ataques de smishing com temática USPS também utilizaram o iMessage da Apple para entregar as páginas de phishing, uma técnica conhecida por ser adotada por um agente de ameaça de fala chinesa conhecido como Smishing Triad.
Essas mensagens também tentam habilmente contornar uma medida de segurança no iMessage que impede que links sejam clicáveis, a menos que a mensagem seja de um remetente conhecido ou de uma conta a qual um usuário respondeu.
Isso é realizado incluindo uma mensagem "Por favor, responda Y" ou "Por favor, responda 1" em uma tentativa de desativar a proteção embutida contra phishing do iMessage.
Vale ressaltar que esta abordagem foi anteriormente associada a um kit de ferramentas de phishing como serviço (PhaaS) chamado Darcula, que tem sido usado extensivamente para visar serviços postais como o USPS e outras organizações estabelecidas em mais de 100 países.
"Os golpistas construíram esse ataque relativamente bem, o que provavelmente é o motivo pelo qual ele está sendo visto tão frequentemente no mundo real", disse o pesquisador da Huntress, Truman Kain.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...