Uma nova plataforma de automação de phishing chamada Quantum Route Redirect (QRR) vem utilizando cerca de 1.000 domínios para roubar credenciais de usuários do Microsoft 365.
O kit já vem pré-configurado com domínios de phishing, permitindo que atores mal-intencionados com pouca experiência obtenham resultados expressivos com pouco esforço.
Desde agosto, analistas da empresa especializada em conscientização de segurança KnowBe4 identificaram ataques envolvendo o Quantum Route Redirect em várias regiões, embora quase três quartos dos incidentes estejam concentrados nos Estados Unidos.
De acordo com a KnowBe4, essa plataforma é uma “solução avançada de automação” que cobre todas as etapas de um ataque de phishing, desde o redirecionamento de tráfego para domínios maliciosos até o monitoramento das vítimas.
Os ataques começam com e-mails maliciosos que simulam solicitações do DocuSign, notificações de pagamento, mensagens de voz não atendidas ou códigos QR.
Esses e-mails direcionam as vítimas para uma página falsa de captura de credenciais hospedada em URLs que seguem um padrão específico.
“Nossos pesquisadores também notaram que as URLs desses domínios geralmente seguem o padrão '/([\w\d-]+\.){2}[\w]{,3}\/quantum.php/' e normalmente estão hospedadas em domínios estacionados ou comprometidos”, explica a KnowBe4.
“A decisão de usar domínios legítimos auxilia na engenharia social dos alvos humanos dessas campanhas.”
A empresa identificou cerca de 1.000 domínios que hospedam páginas de phishing do QRR.
Além disso, o kit possui um mecanismo embutido para distinguir bots de visitantes humanos.
Assim, potenciais vítimas são direcionadas para a página de phishing, enquanto sistemas automatizados, como ferramentas de segurança de e-mail, são enviados para sites inofensivos.
Como o sistema central de redirecionamento do QRR realiza essas tarefas automaticamente, os operadores podem acompanhar estatísticas em tempo real por meio de um painel de controle, que registra o número de visitantes reais em comparação aos não humanos.
A KnowBe4 observou que o QRR tem como alvo contas do Microsoft 365 em 90 países, mas 76% dos ataques foram contra usuários localizados nos Estados Unidos.
Os pesquisadores preveem aumento no uso do Quantum Route Redirect devido às suas técnicas para escapar de soluções de URL scanning.
Algumas outras plataformas semelhantes que ganharam destaque neste ano incluem VoidProxy, Darcula, Morphing Meerkat e Tycoon2FA.
No entanto, existem formas eficazes de defesa contra essa ameaça.
A recomendação da KnowBe4 é implementar filtros robustos de URL capazes de detectar tentativas de phishing, além de utilizar ferramentas que monitoram possíveis sinais de comprometimento em contas caso as credenciais sejam roubadas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...