Pesquisadores de segurança cibernética alertaram sobre campanhas de phishing que abusam da entrada de atualização em cabeçalhos HTTP para fornecer páginas de login de e-mail enganosas, projetadas para coletar credenciais de usuários.
“Ao contrário de outros comportamentos de phishing de páginas da web com conteúdo HTML, este ataque usa o cabeçalho de resposta enviado pelo servidor, o que acontece antes do processamento do conteúdo HTML”, disseram Yu Zhang, Zeyu You e Wei Wang, pesquisadores da Unidade 42 da Palo Alto Networks.
“Links maliciosos direcionam o navegador para atualizar automaticamente ou recarregar a página da web imediatamente, sem exigir interação do usuário.”
Os alvos da operação massiva, vista entre maio e julho de 2024, incluem grandes empresas na Coreia do Sul, bem como agências governamentais e escolas nos EUA. Cerca de 2.000 URLs maliciosos estão associados às campanhas.
Mais de 36% dos ataques expuseram o setor empresarial e económico, seguido pelos serviços financeiros (12,9%), governo (6,9%), saúde e medicina (5,7%) e computadores e Internet (5,4%).
O ataque é o mais recente de uma longa linha de táticas que os agentes de ameaças têm usado para disfarçar suas intenções e enganar os destinatários de e-mail para que forneçam informações confidenciais, incluindo o aproveitamento de domínios de primeiro nível (TLDs) e nomes de domínio em alta para espalhar phishing e redirecionamentos. . para atacar.
As cadeias de infecção são caracterizadas pela entrega de links maliciosos usando URLs de atualização de cabeçalho que contêm os endereços de e-mail dos destinatários pretendidos. O link para o qual será redirecionado está incorporado no cabeçalho de resposta Atualizar.
O início da cadeia de infecção é uma mensagem de e-mail contendo um link que se faz passar por um domínio legítimo ou comprometido, que, quando clicado, aciona um redirecionamento para uma página de coleta controlada pelo ator.
Para dar a uma tentativa de phishing um mínimo de legitimidade, páginas de login de webmail maliciosas preenchem previamente os endereços de e-mail dos destinatários. Os invasores também foram detectados usando domínios legítimos que oferecem serviços de encurtamento de URL, rastreamento e marketing de campanha.
“Ao imitar cuidadosamente domínios legítimos e redirecionar as vítimas para sites legítimos, os invasores podem esconder suas verdadeiras intenções e aumentar a probabilidade de roubo de identidade bem-sucedido”, disseram os pesquisadores.
“Essas táticas destacam as técnicas sofisticadas que os invasores usam para evitar a detecção e explorar alvos inocentes”.
O phishing de e-mail corporativo (BEC) continua a ser um método proeminente para adversários que buscam falsificar informações e conduzir ataques com base financeira.
Os ataques BEC custaram aos EUA e às organizações internacionais cerca de 55,49 mil milhões de dólares entre Outubro de 2013 e Dezembro de 2023, com mais de 305.000 incidentes de fraude relatados durante o mesmo período, de acordo com o Federal Bureau of Investigation (FBI) dos EUA.
O desenvolvimento ocorre em meio a “múltiplas campanhas fraudulentas” que usaram vídeos imersivos apresentando figuras públicas, CEOs, âncoras de notícias e altos funcionários do governo para promover esquemas de investimento falsos como a Quantum AI desde pelo menos julho de 2023.
Essas campanhas são divulgadas por meio de postagens e anúncios em diversas redes sociais, direcionando os usuários para páginas falsas solicitando o preenchimento de um formulário de cadastro, após o qual o golpista entra em contato por telefone e solicita o pagamento. Taxa inicial de $ 250 para acessar as instalações.
“O golpe instrui a vítima a baixar um aplicativo especial para que possa ‘investir’ mais dinheiro”, disseram os pesquisadores da Unidade 42. “Dentro do aplicativo, o painel parece mostrar um pequeno lucro”.
“Finalmente, quando a vítima tenta retirar os seus fundos, os fraudadores exigem o saque ou dão outro motivo (por exemplo, questões fiscais) para não conseguirem recuperar o seu dinheiro.
“Os fraudadores podem encerrar a conta da vítima e embolsar o valor restante, fazendo com que a vítima perca grande parte do dinheiro que havia ‘encenado’.
Também segue a descoberta de um ator malicioso independente que se faz passar por uma empresa legítima e comercializa serviços automatizados de resolução de CAPTCHA em escala para outros cibercriminosos e os ajuda a invadir redes de TI.
Apelidado de Greasy Opal pela Arkose Labs, um “capacitador cibernético” com sede na República Tcheca que se acredita estar em operação desde 2009, ele oferece aos clientes um conjunto de ferramentas para phishing, criação de contas falsas, personalização de navegador e spam em mídias sociais. por um preço de varejo de US$ 190 mais uma assinatura mensal adicional de US$ 10.
O portfólio de produtos impulsiona os cibercriminosos, permitindo-lhes desenvolver um modelo de negócios sofisticado ao agrupar vários serviços. Diz-se que a receita da organização apenas para 2023 não será inferior a US$ 1,7 milhão.
“Greasy Opal usa tecnologia avançada de OCR para analisar e traduzir com sucesso CAPTCHAs baseados em texto, mesmo aqueles distorcidos ou obscurecidos por ruído, rotação ou oclusão”, observou a empresa antifraude em uma análise recente. “O serviço desenvolve algoritmos de aprendizado de máquina treinados em conjuntos de dados de imagens.”
Um de seus usuários é o Storm-1152, um grupo cibercriminoso vietnamita previamente identificado pela Microsoft como vendedor de contas e ferramentas falsificadas da Microsoft por meio de uma rede de sites e páginas de mídia social falsos para outros criminosos.
“Greasy Opal construiu uma combinação próspera de diferentes negócios, oferecendo não apenas serviços de resolução de CAPTCHA, mas também software de otimização de SEO e serviços de automação de mídia social que são frequentemente usados para spam, que pode ser um precursor para a entrega de malware”, Arkose. Laboratórios disseram.
“Este grupo de atores ameaçadores reflete a tendência crescente de empresas que operam na zona cinzenta, enquanto os seus produtos e serviços são utilizados para atividades ilegais a jusante”.
