Um novo kit de phishing chamado 'CoGUI' enviou mais de 580 milhões de emails para alvos entre janeiro e abril de 2025, com o objetivo de roubar credenciais de contas e dados de pagamento.
As mensagens se passam por grandes marcas como Amazon, Rakuten, PayPal, Apple, agências de impostos e bancos.
A atividade atingiu o ápice em janeiro de 2025, com 170 campanhas enviando 172 milhões de mensagens de phishing para alvos, mas os meses seguintes mantiveram volumes igualmente impressionantes.
Pesquisadores da Proofpoint que descobriram as campanhas do CoGUI observaram que é a campanha de phishing de maior volume que atualmente acompanham.
Os ataques visam principalmente o Japão, embora campanhas em menor escala também tenham sido direcionadas aos Estados Unidos, Canadá, Austrália e Nova Zelândia.
CoGUI está ativo desde pelo menos outubro de 2024, mas a Proofpoint começou a rastreá-lo a partir de dezembro em diante.
Os analistas encontraram várias semelhanças com o kit de phishing Darcula, que foi vinculado a operadores baseados na China, e inicialmente acreditavam que a origem dos ataques CoGUI fosse a mesma.
No entanto, após um exame mais detalhado, a Proofpoint concluiu que os dois kits de phishing não estão relacionados, embora ambos sejam utilizados por atores de ameaças chineses.
O ataque começa com um email de phishing se passando por uma marca confiável, muitas vezes com linhas de assunto urgentes que requerem a ação do destinatário.
As mensagens incluem uma URL que redireciona para um site de phishing hospedado na plataforma CoGUI, mas o link só é resolvido se o alvo atender a critérios específicos pré-definidos pelos atacantes.
Esses critérios incluem seu endereço IP (localização), idioma do navegador, sistema operacional, resolução de tela e tipo de dispositivo (móvel ou desktop).
Se os critérios não forem atendidos, as vítimas são redirecionadas para o site legítimo da marca que foi imitada para reduzir a suspeita.
Alvos válidos são redirecionados para uma página de phishing com um formulário de login falso que imita o design da marca real, enganando as vítimas para inserirem suas informações sensíveis.
A Proofpoint também descobriu que o CoGUI estava por trás de campanhas de smishing visando os Estados Unidos com iscas de 'pagamento de pedágio pendente'.
No entanto, observou que a maior parte dessa atividade agora migrou para o Darcula.
Os pesquisadores acreditam que o CoGUI facilita as operações de vários atores de ameaças, principalmente da China, que visam predominantemente usuários japoneses.
No entanto, o kit poderia ser adotado por outros criminosos cibernéticos com diferentes escopos de mira a qualquer momento, resultando em ondas massivas de ataques atingindo outros países.
A melhor maneira de mitigar os riscos de phishing é nunca agir com pressa ao receber emails que solicitam ação urgente e sempre fazer login na plataforma reivindicada de forma independente, em vez de seguir links embutidos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...