Pesquisadores de cibersegurança descobriram uma nova campanha de phishing que utiliza o Google Drawings e links encurtados gerados via WhatsApp para evitar detecção e enganar usuários a clicarem em links falsos projetados para roubar informações sensíveis.
"Os atacantes escolheram um grupo dos sites mais conhecidos em computação para criar a ameaça, incluindo Google e WhatsApp para hospedar os elementos do ataque, e um site semelhante ao da Amazon para coletar as informações das vítimas", disse o pesquisador da Menlo Security, Ashwin Vamshi.
Este ataque é um grande exemplo de uma ameaça de Living Off Trusted Sites (LoTS).
O ponto de partida do ataque é um e-mail de phishing que direciona os destinatários para um gráfico que aparenta ser um link de verificação de conta da Amazon.
Este gráfico, por sua vez, é hospedado no Google Drawings, numa tentativa aparente de evitar detecção.
Abusar de serviços legítimos tem benefícios óbvios para os atacantes, já que eles não são apenas uma solução de baixo custo, mas, mais importante, oferecem uma maneira clandestina de comunicação dentro de redes, pois é improvável que sejam bloqueados por produtos de segurança ou firewalls.
"Outro aspecto que torna o Google Drawings atraente no início do ataque é que ele permite que usuários (neste caso, o atacante) incluam links em seus gráficos", disse Vamshi.
Tais links podem facilmente passar despercebidos pelos usuários, particularmente se eles sentirem um sentido de urgência em relação a uma potencial ameaça à sua conta da Amazon.
Usuários que acabam clicando no link de verificação são levados a uma página de login da Amazon falsa, com a URL criada sucessivamente usando dois encurtadores de URL diferentes -- WhatsApp ("l.wl[.]co") seguido por qrco[.]de -- como uma camada adicional de ofuscação para enganar scanners de segurança de URL.
A página falsa é projetada para coletar credenciais, informações pessoais e detalhes de cartões de crédito, após o que as vítimas são redirecionadas para a página de login original da Amazon phisheada.
Como um passo extra, a página web torna-se inacessível do mesmo endereço IP uma vez que as credenciais têm sido validadas.
A divulgação ocorre enquanto pesquisadores identificaram uma brecha nos mecanismos anti-phishing da Microsoft 365 que poderia ser abusada para aumentar o risco de usuários abrirem e-mails de phishing.
O método envolve o uso de truques de CSS para ocultar o "First Contact Safety Tip", que alerta usuários quando eles recebem e-mails de um endereço desconhecido.
A Microsoft, que reconheceu o problema, ainda não lançou uma solução.
"A dica de segurança de primeiro contato é adicionada no início do corpo de um e-mail em HTML, o que significa que é possível alterar a maneira como ela é exibida através do uso de tags de estilo CSS", disse a empresa de cibersegurança austríaca Certitude.
Podemos levar isso um passo adiante, e falsificar os ícones que a Microsoft Outlook adiciona aos e-mails que são criptografados e/ou assinados.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...