Uma campanha de phishing chamada 'Phish n' Ships' está em andamento desde pelo menos 2019, infectando mais de mil lojas online legítimas para promover anúncios falsos de produtos difíceis de encontrar.
Usuários desavisados que clicam nesses produtos são redirecionados para uma rede de centenas de lojas web falsas que roubam seus dados pessoais e dinheiro sem enviar nada.
De acordo com a equipe Satori Threat Intelligence da HUMAN, que descobriu o Phish n' Ships, a campanha impactou centenas de milhares de consumidores, causando perdas estimadas em dezenas de milhões de dólares.
O ataque começa infectando sites legítimos com scripts maliciosos através da exploração de vulnerabilidades conhecidas (n-days), má configurações ou credenciais de administrador comprometidas.
Uma vez que um site é comprometido, os atores de ameaças carregam scripts com nomes inconspícuos como “zenb.php” e “khyo.php”, com os quais eles carregam anúncios falsos de produtos.
Esses itens vêm completos com metadados otimizados para SEO para aumentar sua visibilidade nos resultados de busca do Google, de onde as vítimas podem ser atraídas.
Quando as vítimas clicam nesses links, elas são redirecionadas através de uma série de etapas que, finalmente, as levam a sites fraudulentos, muitas vezes imitando a interface da loja eletrônica comprometida ou usando um design similar.
Todas essas lojas falsas estão conectadas a uma rede de quatorze endereços IP, de acordo com os pesquisadores da Satori, e todas contêm uma string particular na URL que as torna identificáveis.
Tentar comprar o item na loja falsa leva as vítimas por um processo de checkout falso projetado para parecer legítimo, mas não inclui qualquer verificação de dados, um sinal de fraude potencial.
Os sites maliciosos roubam as informações que as vítimas inserem nos campos de pedido, incluindo detalhes do cartão de crédito, e completam o pagamento usando uma conta de processador de pagamento semi-legítimo controlada pelo atacante.
O item comprado nunca é enviado ao comprador, então as vítimas perdem tanto seu dinheiro quanto seus dados.
A Satori descobriu que, durante os cinco anos em que o Phish n' Ships esteve ativo, os atores de ameaças abusaram de múltiplos provedores de pagamento para sacar os lucros da fraude.
Mais recentemente, eles se adaptaram implementando um mecanismo de pagamento em alguns dos sites falsos de e-commerce para poderem capturar diretamente os detalhes do cartão de crédito das vítimas.
A HUMAN e seus parceiros coordenaram uma resposta ao Phish n' Ships, informando muitas das organizações impactadas e relatando os anúncios falsos ao Google para que pudessem ser removidos.
Até o momento da redação, a maioria dos resultados de busca maliciosos foi limpa, e quase todas as lojas identificadas foram retiradas do ar.
Além disso, os processadores de pagamento que facilitaram os saques para os fraudadores foram informados e removeram as contas ofensivas de suas plataformas, interrompendo significativamente a capacidade do ator de ameaça de gerar lucro.
Apesar de tudo isso, é provável que os atores de ameaças se adaptem a essa disrupção.
Embora a Satori continue monitorando a atividade em busca de ressurgimento, é improvável que eles desistam e não tentem estabelecer uma nova rede de fraudes a compradores.
Recomenda-se aos consumidores que fiquem atentos a redirecionamentos incomuns ao navegar em plataformas de e-commerce, validem que estão na URL correta da loja ao tentar comprar um item e relatem cobranças fraudulentas ao seu banco e autoridades o mais rápido possível.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...