Uma campanha de phishing amplamente disseminada foi observada aproveitando documentos PDF falsos hospedados na rede de entrega de conteúdo (CDN) da Webflow, com o objetivo de roubar informações de cartões de crédito e cometer fraudes financeiras.
"O atacante visa vítimas que buscam por documentos em motores de busca, resultando em acesso a PDFs maliciosos que contêm uma imagem CAPTCHA embutida com um link de phishing, levando-as a fornecer informações sensíveis", disse o pesquisador Jan Michael Alcantara, do Netskope Threat Labs.
A atividade, contínua desde o segundo semestre de 2024, envolve usuários procurando por títulos de livros, documentos e gráficos em motores de busca como Google, para redirecioná-los a arquivos PDF hospedados no CDN da Webflow.
Esses arquivos PDF vêm embutidos com uma imagem que imita um desafio CAPTCHA, fazendo com que usuários que clicam nele sejam levados a uma página de phishing que, desta vez, hospeda um CAPTCHA Turnstile real da Cloudflare.
Ao fazer isso, os atacantes pretendem dar um verniz de legitimidade ao processo, enganando as vítimas a pensar que interagiram com uma verificação de segurança, enquanto também evitam detecção por scanners estáticos.
Usuários que completam o desafio CAPTCHA genuíno são subsequentemente redirecionados para uma página que inclui um botão de "download" para acessar o documento supostamente.
No entanto, quando as vítimas tentam completar a etapa, elas recebem uma mensagem pop-up pedindo para entrar com seus dados pessoais e detalhes do cartão de crédito.
"Ao entrar os detalhes do cartão de crédito, o atacante envia uma mensagem de erro para indicar que não foi aceito", disse Michael Alcantara.
Se a vítima submeter seus detalhes do cartão de crédito duas ou três vezes mais, eles serão redirecionados para uma página de erro HTTP 500. O desenvolvimento vem à medida que a SlashNext detalhou um novo kit de phishing chamado Astaroth (não confundir com um malware bancário de mesmo nome) que está sendo anunciado no Telegram e em mercados de cibercrime por US$ 2.000 em troca de seis meses de atualizações e técnicas de bypass.
Como outras ofertas de phishing como serviço (PhaaS), ele permite que cibercriminosos tenham a capacidade de colher credenciais e códigos de autenticação de dois fatores (2FA) por meio de páginas de login falsas que imitam serviços online populares.
"Astaroth utiliza um proxy reverso no estilo Evilginx para interceptar e manipular o tráfego entre vítimas e serviços legítimos de autenticação como Gmail, Yahoo e Microsoft," disse o pesquisador de segurança Daniel Kelley.
Atuando como um homem no meio, ele captura credenciais de login, tokens e cookies de sessão em tempo real, efetivamente contornando o 2FA.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...