Hackers exploram sites populares de publicação de documentos para ataques de phishing
19 de Março de 2024

Atores de ameaças estão explorando sites de publicação de documentos digitais (DDP) hospedados em plataformas como FlipSnack, Issuu, Marq, Publuu, RelayTo e Simplebooklet para realizar phishing, coleta de credenciais e roubo de tokens de sessão, enfatizando mais uma vez como os atores de ameaças estão reutilizando serviços legítimos para fins maliciosos.

"Hospedar iscas de phishing em sites DDP aumenta a probabilidade de um ataque de phishing bem-sucedido, já que esses sites geralmente têm uma reputação favorável, são improváveis de aparecer em listas de bloqueio de filtros web, e podem infundir um falso senso de segurança em usuários que os reconhecem como familiares ou legítimos", disse o pesquisador da Cisco Talos, Craig Jackson, na semana passada.

Enquanto adversários têm usado serviços populares baseados na nuvem, como Google Drive, OneDrive, Dropbox, SharePoint, DocuSign e Oneflow para hospedar documentos de phishing no passado, o último desenvolvimento marca uma escalada projetada para evadir controles de segurança de e-mail.

Os serviços DDP permitem que os usuários façam upload e compartilhem arquivos PDF em um formato interativo de flipbook baseado em navegador, adicionando animações de virada de página e outros efeitos esqueuomórficos a qualquer catálogo, brochura ou revista.

Descobriu-se que os atores da ameaça abusam da camada gratuita ou do período de teste sem custo oferecido por esses serviços para criar várias contas e publicar documentos maliciosos.

Além de explorar sua reputação de domínio favorável, os atacantes aproveitam o fato de que os sites DDP facilitam a hospedagem de arquivos transitórios, permitindo assim que o conteúdo publicado automaticamente seja indisponibilizado após uma data e hora de expiração pré-definidas.

O que é mais, recursos de produtividade incorporados em sites DDP como Publuu poderiam agir como um impedimento, evitando a extração e detecção de links maliciosos em mensagens de phishing.

Nos incidentes analisados pela Cisco Talos, os sites DDP são integrados à cadeia de ataque na fase secundária ou intermediária, normalmente incorporando um link para um documento hospedado em um site DDP legítimo em um e-mail de phishing.

O documento hospedado em DDP serve como uma porta de entrada para um site externo controlado pelo adversário, seja diretamente clicando em um link incluído no arquivo isca, ou através de uma série de redirecionamentos que também exigem a solução de CAPTCHAs para frustrar esforços de análise automatizados.

A página de destino final é um site falso que imita a página de login do Microsoft 365, permitindo assim que os atacantes roubem credenciais ou tokens de sessão.

"Os sites DDP representam um ponto cego para os defensores, porque são desconhecidos para os usuários treinados e improváveis de serem marcados por controles de filtragem de conteúdo de e-mail e web", disse Jackson.

"Os sites DDP criam vantagens para os atores de ameaças que buscam frustrar proteções contemporâneas contra phishing.

As mesmas características e benefícios que atraem usuários legítimos para esses sites podem ser abusados por atores de ameaças para aumentar a eficácia de um ataque de phishing."

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...