Uma campanha de phishing está se passando por mais de 30 marcas conhecidas, entre elas Adobe, Netflix, Coca-Cola e OpenAI, em falsas entrevistas de emprego para roubar credenciais de contas Google de profissionais de marketing.
A operação abusa da legítima plataforma de recursos humanos PeopleForce, baseada em cloud, e de um domínio associado ao serviço Salesforce Marketing Cloud antes de redirecionar a vítima para uma página maliciosa.
Para aumentar a credibilidade e as chances de sucesso, o threat actor usa nomes e fotos de recrutadores reais das empresas imitadas.
Will Thomas, conselheiro sênior da empresa de inteligência em cibersegurança e caça a ameaças Team Cymru, analisou a campanha e identificou que o e-mail de phishing se apresenta como enviado por “um recrutador em busca de profissionais para vagas de marketing”.
O pesquisador descobriu que o threat actor está usando pelo menos 34 domínios que imitam empresas de alto valor nos seguintes setores:
Companhias aéreas e turismo: American Airlines, Booking.com, Delta Air Lines, United Airlines
Alimentos e bebidas: Coca-Cola, PepsiCo, Red Bull
Moda e bens de luxo: Adidas, Louis Vuitton, Sephora, Levis
Recrutamento, consultoria e tecnologia: Adobe, Aquent, ManpowerGroup, McKinsey & Company, OpenAI
Hotelaria e marketing: Marriott, Omnicom Group
Entretenimento e esportes: FIFA, Netflix
Thomas constatou que a campanha depende de redirecionamentos aninhados, uma técnica que encaminha os visitantes por vários serviços legítimos antes de levá-los à página maliciosa.
O pesquisador observou que, embora os e-mails de phishing pareçam vir da PeopleForce, os links subjacentes resolvem para o domínio exct[.]net, operado pela Salesforce após a aquisição da plataforma de automação de marketing ExactTarget, hoje rebatizada como Salesforce Marketing Cloud.
Em seguida, a ExactTarget redireciona para o Wise Agent, um software de CRM imobiliário baseado em cloud, usado por agentes, equipes e corretores, que então encaminha a vítima para a página de phishing.
A operação está em atividade há pelo menos cinco meses e, inicialmente, usava endereços de e-mail do Outlook com o nome da empresa imitida.
Em um dos e-mails de phishing, que se passava por uma mensagem da recrutadora da Adidas, Paulina Manzo, a vítima era convidada a agendar uma conversa sobre uma possível vaga na empresa.
Ao clicar no link para o calendário, o destinatário era redirecionado para a página de entrada do threat actor, adidas-hiring[.]com.
Para continuar o processo de agendamento com a recrutadora, a vítima em potencial era orientada a fazer login em sua conta Google.
Ao clicar no botão “Continuar com o Google”, surgia uma janela falsa de autenticação do Google, renderizada dentro da própria página de phishing para simular uma autenticação legítima.
Embora o pop-up possa parecer uma janela real do navegador, ele não passa de código HTML e CSS exibido dentro da página de phishing, em uma técnica conhecida como browser-in-the-browser, ou BitB.
Com o uso de ferramentas modernas de desenvolvimento web, o atacante consegue reproduzir todos os elementos de uma janela legítima de autenticação.
Ainda não está claro como o threat actor obteve acesso às plataformas legítimas, mas abusar desses serviços não significa necessariamente que eles tenham sido comprometidos.
Uma possibilidade é a criação de uma conta legítima exclusivamente para a campanha, ou o uso de credenciais comprometidas, o que permite configurar a cadeia de redirecionamento e a página final.
A lista dos domínios identificados nesta campanha de phishing está disponível na análise de Will Thomas no GitHub.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...