Uma nova plataforma de cibercrime chamada ATHR consegue coletar credenciais por meio de ataques de voice phishing totalmente automatizados, combinando operadores humanos e agentes de IA na etapa de engenharia social.
A operação maliciosa é anunciada em fóruns da dark web por US$ 4.000, além de uma comissão de 10% sobre os lucros, e é capaz de roubar dados de login de diversos serviços, incluindo Google, Microsoft e Coinbase.
A automação cobre todas as etapas de um ataque TOAD (telephone-oriented attack delivery), desde a abordagem inicial da vítima por e-mail até a execução da engenharia social por voz e a captura das credenciais da conta.
Segundo pesquisadores da Abnormal Security, empresa de segurança de e-mail em nuvem, a ATHR é uma plataforma completa para ataques de phishing e vishing, oferecendo modelos de e-mail específicos por marca, personalização por alvo e mecanismos de falsificação de identidade (spoofing) para fazer a mensagem parecer enviada por um remetente confiável.
No momento da análise, os pesquisadores observaram que a ATHR já suportava oito serviços online: Google, Microsoft, Coinbase, Binance, Gemini, Crypto.com, Yahoo e AOL.
O ataque começa com a vítima recebendo um e-mail projetado para parecer uma verificação rotineira ou até mesmo um teste técnico de autenticação.
“A isca normalmente é um falso alerta de segurança ou uma notificação de conta, algo urgente o suficiente para levar a vítima a fazer uma ligação, mas genérico o bastante para não acionar filtros baseados em conteúdo”, explica a Abnormal em relatório divulgado hoje.
Ao ligar para o número informado no e-mail, a vítima é encaminhada por meio de sistemas baseados em Asterisk e WebRTC para agentes de voz com IA, guiados por prompts cuidadosamente elaborados para conduzir o processo de roubo de dados.
Esses agentes seguem um roteiro em várias etapas que simula um incidente de segurança.
No caso de contas do Google, por exemplo, eles reproduzem o processo de recuperação e verificação da conta, com instruções pré-definidas que moldam tom, abordagem, persona e comportamento para imitar um suporte técnico profissional.
O objetivo desse falso processo de recuperação é obter um código de verificação de seis dígitos, que permite ao invasor acessar a conta da vítima.
Embora a ATHR ofereça a opção de transferir a chamada para um operador humano, o uso de agentes de IA é o principal diferencial da plataforma.
O painel da ATHR oferece aos operadores controle total sobre o processo e fornece dados em tempo real sobre cada ataque, por alvo.
Por meio da interface, os operadores gerenciam a distribuição de e-mails, atendem chamadas e conduzem as operações de phishing, acompanhando os resultados em tempo real e recebendo registros com os dados roubados.
Os pesquisadores da Abnormal alertam que a ATHR reduz significativamente o esforço manual do operador e oferece aos atores maliciosos uma plataforma integrada capaz de conduzir todas as fases de um ataque TOAD, sem a necessidade de configurar componentes individuais.
Isso permite que atacantes com menor nível técnico e sem infraestrutura própria lancem campanhas de vishing automatizadas do início ao fim.
“A mudança de uma operação fragmentada e intensiva em trabalho manual para uma oferta empacotada e amplamente automatizada significa que os ataques TOAD não exigem mais grandes equipes nem infraestrutura especializada”, alerta a Abnormal.
Com a ascensão de plataformas de cibercrime como a ATHR, os pesquisadores esperam que os ataques de vishing se tornem mais frequentes e mais difíceis de diferenciar de comunicações legítimas.
A defesa contra esse tipo de ameaça exige uma abordagem diferente, já que os e-mails isca não apresentam indicadores confiáveis, são personalizados para passar por mecanismos de autenticação e se assemelham a notificações legítimas.
Ainda assim, a detecção é possível ao analisar padrões de comportamento na comunicação entre remetente e destinatário, além de identificar se mensagens semelhantes, contendo números de telefone, foram recebidas pela organização em um curto intervalo de tempo.
Os pesquisadores da Abnormal afirmam que modelar o comportamento normal de comunicação dentro da organização pode ajudar sistemas de detecção baseados em IA a identificar anomalias antes que as vítimas realizem a ligação.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...