Uma nova campanha de phishing está mirando em compradores de e-commerce na Europa e nos Estados Unidos com páginas falsas que imitam marcas legítimas com o objetivo de roubar suas informações pessoais antes da temporada de compras da Black Friday.
"A campanha se aproveitou da atividade de compras online em novembro, a temporada de pico para descontos da Black Friday. O ator de ameaças usou produtos com descontos falsos como iscas de phishing para enganar as vítimas a fornecerem seus Dados do Titular do Cartão (CHD) e Dados de Autenticação Sensíveis (SAD) e Informações Pessoais Identificáveis (PII)," disse a EclecticIQ.
A atividade, observada pela primeira vez no início de outubro de 2024, foi atribuída com alta confiança a um ator de ameaças de motivação financeira chinês com o codinome SilkSpecter.
Algumas das marcas imitadas incluem IKEA, L.L.Bean, North Face e Wayfare.
Os domínios de phishing foram encontrados usando domínios de nível superior (TLDs) como .top, .shop, .store e .vip, muitas vezes usando typosquatting em nomes de domínios de organizações de e-commerce legítimas como forma de atrair vítimas (por exemplo, northfaceblackfriday[.]shop).
Esses sites promovem descontos inexistentes, enquanto coletam furtivamente informações dos visitantes.
A flexibilidade e credibilidade do kit de phishing é aprimorada usando um componente do Google Translate que modifica dinamicamente o idioma do site com base nos marcadores de geolocalização das vítimas.
Ele também implanta rastreadores como OpenReplay, TikTok Pixel e Meta Pixel para monitorar a eficácia dos ataques.
O objetivo final da campanha é capturar qualquer informação financeira sensível inserida pelos usuários como parte de pedidos falsos, com os atacantes abusando do Stripe para processar as transações para dar-lhes uma ilusão de legitimidade, quando, na realidade, os dados do cartão de crédito são exfiltrados para servidores sob seu controle.
Além disso, as vítimas são solicitadas a fornecer seus números de telefone, uma jogada provavelmente motivada pelos planos do ator de ameaças de conduzir ataques subsequentes de smishing e vishing para capturar detalhes adicionais, como códigos de autenticação de dois fatores (2FA).
"Impersonando entidades confiáveis, como instituições financeiras ou plataformas de e-commerce bem conhecidas, o SilkSpecter poderia muito provavelmente contornar barreiras de segurança, ganhar acesso não autorizado às contas das vítimas e iniciar transações fraudulentas," disse a EclecticIQ.
Atualmente não está claro como essas URLs são disseminadas, mas suspeita-se que envolvam contas de mídias sociais e envenenamento de otimização de motor de busca (SEO).
As descobertas vêm semanas após a equipe de Inteligência e Pesquisa de Ameaças Satori da HUMAN detalhar outra operação de fraude ampla e em andamento apelidada de Phish 'n' Ships que gira em torno de falsas lojas virtuais que também abusam de provedores de pagamentos digitais como Mastercard e Visa para desviar dinheiro e informações de cartão de crédito dos consumidores.
Diz-se que o esquema fraudulento está ativo desde 2019, infectando mais de 1.000 sites legítimos para configurar listagens de produtos falsos e usar táticas de SEO black hat para aumentar artificialmente o ranking do site nos resultados dos motores de busca.
Os processadores de pagamento desde então bloquearam as contas dos atores de ameaças, restringindo sua capacidade de sacar.
"O processo de checkout então passa por uma loja virtual diferente, que se integra a um dos quatro processadores de pagamento para completar a compra", disse a empresa.
E embora o dinheiro do consumidor seja transferido para o ator da ameaça, o item nunca chegará.
O uso de envenenamento de SEO para redirecionar usuários para páginas falsas de e-commerce é um fenômeno disseminado.
De acordo com a Trend Micro, tais ataques envolvem a instalação de malware de SEO em sites comprometidos, os quais são responsáveis por fazer com que as páginas apareçam no topo dos resultados dos motores de busca.
"Estes malwares de SEO são instalados em sites comprometidos para interceptar solicitações do servidor web e retornar conteúdos maliciosos," observou a empresa.
Ao fazer isso, os atores de ameaças podem enviar um mapa do site elaborado para motores de busca e indexar páginas de isca geradas.
Isso contamina os resultados da busca, fazendo com que as URLs de sites comprometidos apareçam em buscas por nomes de produtos que eles não tratam de fato.
Consequentemente, usuários de motores de busca são direcionados a visitar esses sites.
O malware de SEO então intercepta o manipulador de solicitações e redireciona o navegador do usuário para sites falsos de e-commerce.
Além da fraude relacionada às compras, usuários de serviços postais na região dos Balcãs se tornaram alvo de um golpe de entrega falhada que usa o Apple iMessage para enviar mensagens alegando ser dos serviços postais, instruindo os destinatários a clicar em um link para inserir informações pessoais e financeiras a fim de completar a entrega.
"As vítimas então seriam obrigadas a fornecer suas informações pessoais, incluindo seu nome, endereço residencial ou comercial e informações de contato, que os criminosos cibernéticos colherão e usarão para futuras tentativas de phishing," disse a Group-IB.
Sem dúvida, após o pagamento ser feito pelas vítimas, o dinheiro é irrecuperável, e os criminosos cibernéticos tornam-se incontactáveis, resultando na perda tanto de informações pessoais quanto de dinheiro por suas vítimas.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...