Hackers usam cabeçalhos HTTP em ataques de phishing
16 de Setembro de 2024

Pesquisadores de cibersegurança alertaram sobre campanhas de phishing em andamento que abusam de entradas de refresh em cabeçalhos HTTP para entregar páginas falsas de login de email projetadas para coletar credenciais dos usuários.

"Ao contrário de outros comportamentos de distribuição de páginas de phishing por meio de conteúdo HTML, esses ataques utilizam o cabeçalho de resposta enviado por um servidor, que ocorre antes do processamento do conteúdo HTML," disseram os pesquisadores da Unit 42 da Palo Alto Networks, Yu Zhang, Zeyu You e Wei Wang.

Links maliciosos direcionam o navegador para atualizar ou recarregar uma página da web automaticamente, sem exigir interação do usuário. Os alvos da atividade em larga escala, observada entre maio e julho de 2024, incluem grandes corporações na Coreia do Sul, bem como agências governamentais e escolas nos EUA.

Até 2.000 URLs maliciosas foram associadas às campanhas.

Mais de 36% dos ataques visaram o setor de negócios e economia, seguidos por serviços financeiros (12,9%), governo (6,9%), saúde e medicina (5,7%) e computadores e internet (5,4%).

Os ataques são os mais recentes em uma longa lista de táticas que os agentes de ameaças empregaram para ocultar suas intenções e enganar os destinatários de emails para que entreguem informações sensíveis, incluindo o aproveitamento de domínios de topo (TLDs) e nomes de domínio em voga para propagar ataques de phishing e redirecionamento.

As cadeias de infecção são caracterizadas pela entrega de links maliciosos através de URLs de refresh de cabeçalho contendo endereços de email dos destinatários visados.

O link para o qual ser redirecionado é incorporado no cabeçalho de resposta Refresh.

O ponto de partida da cadeia de infecção é uma mensagem de email contendo um link que imita um domínio legítimo ou comprometido que, ao ser clicado, aciona o redirecionamento para a página de coleta de credenciais controlada pelo ator.

Para dar ao ataque de phishing uma aparência de legitimidade, as páginas falsas de login de webmail têm os endereços de email dos destinatários preenchidos previamente.

Também foi observado que os atacantes usam domínios legítimos que oferecem serviços de encurtamento de URL, rastreamento e marketing de campanhas.

"Ao imitar cuidadosamente domínios legítimos e redirecionar as vítimas para sites oficiais, os atacantes podem efetivamente mascarar seus verdadeiros objetivos e aumentar a probabilidade de roubo de credenciais bem-sucedido," disseram os pesquisadores.

Essas táticas destacam as estratégias sofisticadas que os atacantes usam para evitar a detecção e explorar alvos desavisados. Phishing e comprometimento de email empresarial (BEC) continuam sendo um caminho proeminente para adversários que procuram informações e realizar ataques motivados financeiramente.

Ataques de BEC custaram às organizações dos EUA e internacionais uma estimativa de $55,49 bilhões entre outubro de 2013 e dezembro de 2023, com mais de 305.000 incidentes de golpes relatados durante o mesmo período, de acordo com o Federal Bureau of Investigation (FBI) dos EUA.

O desenvolvimento ocorre em meio a "dezenas de campanhas de golpes" que usaram vídeos deepfake apresentando figuras públicas, CEOs, âncoras de notícias e altos funcionários do governo para promover esquemas de investimento falsos, como o Quantum AI, desde pelo menos julho de 2023.

Essas campanhas são propagadas via postagens e anúncios em várias plataformas de mídia social, direcionando os usuários para páginas da web falsas que os solicitam a preencher um formulário para se inscrever, após o qual um golpista os contata por telefone e pede que paguem uma taxa inicial de $250 para acessar o serviço.

"O golpista instrui a vítima a baixar um aplicativo especial para que possam 'investir' mais de seus fundos," disseram os pesquisadores da Unit 42.

Dentro do aplicativo, um painel parece mostrar pequenos lucros. "Finalmente, quando a vítima tenta retirar seus fundos, os golpistas ou exigem taxas de saque ou citam algum outro motivo (por exemplo, problemas fiscais) pelo qual não conseguem recuperar seus fundos.

Os golpistas podem então bloquear a vítima fora de sua conta e embolsar os fundos restantes, fazendo com que a vítima perca a maior parte do dinheiro que colocou na 'plataforma.'

Isso também segue a descoberta de um ator de ameaça furtivo que se apresenta como uma empresa legítima e tem anunciado serviços automatizados de resolução de CAPTCHA em escala para outros criminosos cibernéticos, ajudando-os a infiltrar-se em redes de TI.

Apelidado de Greasy Opal pela Arkose Labs, o "negócio de habilitação de ataque cibernético" baseado na República Tcheca é acreditado estar operacional desde 2009, oferecendo aos clientes um kit de ferramentas para stuffing de credenciais, criação em massa de contas falsas, automação de navegador e spam em mídia social a um ponto de preço de $190 e uma assinatura mensal adicional de $10.

O portfólio de produtos abrange o espectro do cibercrime, permitindo que eles desenvolvam um modelo de negócios sofisticado, agrupando vários serviços juntos.

As receitas da entidade para 2023 sozinhas são ditas ser de não menos que $1,7 milhão.

"Greasy Opal emprega tecnologia OCR de ponta para analisar e interpretar efetivamente CAPTCHAs baseados em texto, mesmo aqueles distorcidos ou obscurecidos por ruído, rotação ou oclusão," a empresa de prevenção de fraudes observou em uma análise recente.

"O serviço desenvolve algoritmos de machine learning treinados em extensos conjuntos de dados de imagens." Um de seus usuários é o Storm-1152, um grupo de cibercrime vietnamita que foi previamente identificado pela Microsoft como vendendo 750 milhões de contas Microsoft fraudulentas e ferramentas através de uma rede de sites falsos e páginas de mídia social para outros atores criminosos.

"Greasy Opal construiu um conglomerado próspero de negócios multifacetados, oferecendo não apenas serviços de resolução de CAPTCHA, mas também software de impulsionamento de SEO e serviços de automação de mídia social que são frequentemente usados para spam, o que pode ser um precursor para a entrega de malware," disse a Arkose Labs.

Este grupo de atores de ameaça reflete uma tendência crescente de negócios operando em uma zona cinzenta, enquanto seus produtos e serviços têm sido usados para atividades ilegais a jusante.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...