Uma campanha de phishing amplamente disseminada foi observada aproveitando documentos PDF falsos hospedados na rede de entrega de conteúdo (CDN) da Webflow, com o objetivo de roubar informações de cartões de crédito e cometer fraudes financeiras.
"O atacante visa vítimas que buscam por documentos em motores de busca, resultando em acesso a PDFs maliciosos que contêm uma imagem CAPTCHA embutida com um link de phishing, levando-as a fornecer informações sensíveis", disse o pesquisador Jan Michael Alcantara, do Netskope Threat Labs.
A atividade, contínua desde o segundo semestre de 2024, envolve usuários procurando por títulos de livros, documentos e gráficos em motores de busca como Google, para redirecioná-los a arquivos PDF hospedados no CDN da Webflow.
Esses arquivos PDF vêm embutidos com uma imagem que imita um desafio CAPTCHA, fazendo com que usuários que clicam nele sejam levados a uma página de phishing que, desta vez, hospeda um CAPTCHA Turnstile real da Cloudflare.
Ao fazer isso, os atacantes pretendem dar um verniz de legitimidade ao processo, enganando as vítimas a pensar que interagiram com uma verificação de segurança, enquanto também evitam detecção por scanners estáticos.
Usuários que completam o desafio CAPTCHA genuíno são subsequentemente redirecionados para uma página que inclui um botão de "download" para acessar o documento supostamente.
No entanto, quando as vítimas tentam completar a etapa, elas recebem uma mensagem pop-up pedindo para entrar com seus dados pessoais e detalhes do cartão de crédito.
"Ao entrar os detalhes do cartão de crédito, o atacante envia uma mensagem de erro para indicar que não foi aceito", disse Michael Alcantara.
Se a vítima submeter seus detalhes do cartão de crédito duas ou três vezes mais, eles serão redirecionados para uma página de erro HTTP 500. O desenvolvimento vem à medida que a SlashNext detalhou um novo kit de phishing chamado Astaroth (não confundir com um malware bancário de mesmo nome) que está sendo anunciado no Telegram e em mercados de cibercrime por US$ 2.000 em troca de seis meses de atualizações e técnicas de bypass.
Como outras ofertas de phishing como serviço (PhaaS), ele permite que cibercriminosos tenham a capacidade de colher credenciais e códigos de autenticação de dois fatores (2FA) por meio de páginas de login falsas que imitam serviços online populares.
"Astaroth utiliza um proxy reverso no estilo Evilginx para interceptar e manipular o tráfego entre vítimas e serviços legítimos de autenticação como Gmail, Yahoo e Microsoft," disse o pesquisador de segurança Daniel Kelley.
Atuando como um homem no meio, ele captura credenciais de login, tokens e cookies de sessão em tempo real, efetivamente contornando o 2FA.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...