Hackers estão explorando o LinkedIn para aplicar ataques de phishing via mensagens diretas, tendo como alvo executivos da área financeira.
As mensagens se apresentam como convites para integrar conselhos executivos, com o objetivo de roubar credenciais Microsoft.
A campanha foi identificada pela empresa Push Security, que conseguiu bloquear recentemente uma dessas tentativas iniciadas por uma mensagem no LinkedIn contendo um link malicioso.
Segundo informações do BleepingComputer, os phishing se disfarçam como convites para executivos ingressarem no conselho de um fundo de investimento recém-criado chamado "Common Wealth".
Uma das mensagens típicas, vista pelo BleepingComputer, diz: “Estou animado para estender um convite exclusivo para você integrar o Conselho Executivo do fundo Common Wealth na América do Sul, em parceria com a AMCO — nosso braço de Asset Management, um fundo de venture capital audacioso que está lançando um fundo de investimento na América do Sul.”
Essas mensagens finalizam orientando o destinatário a clicar no link para obter mais detalhes sobre a suposta oportunidade.
Contudo, a Push Security explica que, ao clicar no link, a vítima é redirecionada por várias etapas.
A primeira delas passa por um open redirect do Google, que leva a um site controlado pelos atacantes.
A partir daí, há um novo redirecionamento para uma página hospedada no firebasestorage.googleapis[.]com.
Entre os domínios maliciosos utilizados nessa campanha, identificados pela Push Security e pelo BleepingComputer, estão payrails-canaccord[.]icu, boardproposalmeet[.]com e sqexclusiveboarddirect[.]icu.
Na página hospedada no Firebase, o site simula um portal chamado “LinkedIn Cloud Share”, que contém diversos documentos ligados à posição e às responsabilidades na suposta diretoria.
Ao tentar abrir algum documento, um alerta informa que é necessário clicar no botão “View with Microsoft” para acessar o conteúdo.
De acordo com a Push Security, ao clicar nesse botão, o usuário é redirecionado para login.kggpho[.]icu, onde é apresentado um captcha da Cloudflare Turnstile.
Essa etapa serve para bloquear scanners automatizados antes de exibir uma página falsa de login da Microsoft.
“Os atacantes estão usando tecnologias comuns de proteção contra bots, como CAPTCHA e Cloudflare Turnstile, para impedir que ferramentas automatizadas acessem suas páginas e as analisem (evitando assim que sejam automaticamente bloqueadas)”, explica a Push Security.
“Isso exige que qualquer visitante da página passe por um desafio de verificação contra bots antes do carregamento do conteúdo, o que dificulta a análise automatizada da página.”
Após a validação no Cloudflare Turnstile, o usuário se depara com uma suposta página de autenticação da Microsoft, que na verdade é um ataque Adversary-in-the-Middle (AITM) de phishing, projetado para capturar tanto as credenciais digitadas quanto os cookies de sessão.
A Push Security alerta que ataques de phishing estão cada vez mais ocorrendo fora do ambiente de e-mails, aproveitando plataformas online diretamente no navegador.
“Phishing não acontece mais apenas por e-mail”, afirma Jacques Louw, Chief Product Officer da Push Security.
“No último mês, cerca de 34% das tentativas de phishing que monitoramos ocorreram em plataformas como LinkedIn e outros canais não relacionados ao e-mail — um aumento significativo em relação a menos de 10% há três meses.
Os atacantes estão cada vez mais inteligentes ao identificar onde as pessoas realmente se comunicam e como atingi-las de forma eficaz.
Os defensores precisam se adaptar a essa realidade.”
Esta é a segunda campanha de phishing voltada a executivos no LinkedIn detectada pela Push Security nas últimas seis semanas.
A primeira, registrada em setembro, teve como foco executivos da área de tecnologia.
Usuários devem manter cautela ao receber mensagens inesperadas no LinkedIn que oferecem oportunidades de negócios ou convites para conselhos executivos.
É fundamental evitar clicar em links recebidos por mensagens diretas sem confirmação.
Ao receber mensagens não solicitadas, recomenda-se verificar a identidade do remetente e a veracidade da oferta antes de qualquer interação.
Além disso, muitos ataques utilizam domínios com extensões pouco comuns, como .top, .icu e .xyz.
Nesses casos, o ideal é desconfiar e evitar clicar nos links sempre que possível.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...