Pesquisadores de segurança cibernética descobriram uma nova campanha de phishing que utiliza o Google Drawings e links encurtados gerados via WhatsApp para evitar a detecção e enganar os usuários para clicar em links falsos projetados para roubar informações confidenciais.
“Os invasores escolheram um grupo dos sites mais conhecidos em computação para criar a ameaça, incluindo o Google e o WhatsApp para hospedar os elementos de ataque, e uma sósia da Amazon para coletar as informações da vítima”, disse o pesquisador da Menlo Security, Ashwin Vamshi. “Este ataque é um ótimo exemplo de uma ameaça Living Off Trusted Sites (LoTS)”.
O ponto de partida do ataque é um e-mail de phishing que direciona os destinatários para um gráfico que parece ser um link de verificação de conta da Amazon. Este gráfico, por sua vez, é hospedado no Google Drawings, em um esforço aparente para evitar a detecção.
Segurança cibernética
Abusar de serviços legítimos tem benefícios óbvios para os invasores, pois eles não são apenas uma solução de baixo custo, mas, mais importante, oferecem uma forma clandestina de comunicação dentro das redes, pois é improvável que sejam bloqueados por produtos de segurança ou firewalls.
“Outra coisa que torna o Google Drawings atraente no início do ataque é que ele permite que os usuários (neste caso, o invasor) incluam links em seus gráficos”, disse Vamshi. “Tais links podem facilmente passar despercebidos pelos usuários, principalmente se eles sentirem uma sensação de urgência em torno de uma ameaça potencial à sua conta da Amazon.”
Os usuários que acabam clicando no link de verificação são levados para uma página de login semelhante à da Amazon, com a URL criada sucessivamente usando dois encurtadores de URL diferentes — WhatsApp (“l.wl[.]co”) seguido por qrco[.]de — como uma camada adicional de ofuscação e enganar os scanners de URL de segurança.
A página falsa é projetada para coletar credenciais, informações pessoais e detalhes de cartão de crédito, após o que as vítimas são redirecionadas para a página de login original da Amazon com phishing. Como uma etapa extra, a página da web é tornada inacessível a partir do mesmo endereço IP depois que as credenciais são validadas.
A divulgação ocorre quando pesquisadores identificaram uma brecha nos mecanismos antiphishing do Microsoft 365 que poderia ser usada indevidamente para aumentar o risco de usuários abrirem e-mails de phishing.
Segurança cibernética
O método envolve o uso de truques CSS para ocultar a “Dica de segurança do primeiro contato”, que alerta os usuários quando eles recebem e-mails de um endereço desconhecido. A Microsoft, que reconheceu o problema, ainda não lançou uma correção.
“A Dica de segurança do primeiro contato é anexada ao corpo de um e-mail HTML, o que significa que é possível alterar a maneira como ele é exibido por meio do uso de tags de estilo CSS”, disse a empresa austríaca de segurança cibernética Certitude. “Podemos levar isso um passo adiante e falsificar os ícones que o Microsoft Outlook adiciona a e-mails que são criptografados e/ou assinados.”
