Os agentes de ameaças estão aproveitando websites de publicação de documentos digitais (DDP) hospedados em plataformas como FlipSnack, Issuu, Marq, Publuu, RelayTo e Simplebooklet para realizar phishing, coleta de credenciais e roubo de tokens de sessão, ressaltando mais uma vez como os agentes de ameaças estão redirecionando serviços legítimos para fins maliciosos.
“Hospedar iscas de phishing em websites DDP aumenta a probabilidade de um ataque de phishing bem-sucedido, uma vez que esses websites geralmente têm uma reputação favorável, é improvável que apareçam em listas de bloqueio de filtros da net e podem incutir uma falsa sensação de segurança nos usuários que os reconhecem como familiares ou legítimo”, disse Craig Jackson, pesquisador do Cisco Talos, na semana passada.
Embora os adversários tenham usado serviços populares baseados em nuvem, como Google Drive, OneDrive, Dropbox, SharePoint, DocuSign e Oneflow para hospedar documentos de phishing no passado, o desenvolvimento mais recente marca uma escalada projetada para escapar dos controles de segurança de e-mail.
Os serviços DDP permitem aos usuários fazer add e compartilhar arquivos PDF em um formato de flipbook interativo baseado em navegador, adicionando animações de virada de página e outros efeitos skeuomórficos a qualquer catálogo, brochura ou revista.
Descobriu-se que os atores da ameaça abusam do nível gratuito ou de um período de teste gratuito oferecido por esses serviços para criar várias contas e publicar documentos maliciosos.
Além de explorar a reputação favorável de seu domínio, os invasores aproveitam o fato de que os websites DDP facilitam a hospedagem transitória de arquivos, permitindo assim que o conteúdo publicado fique automaticamente indisponível após uma knowledge e hora de expiração predefinidas.
Além do mais, os recursos de produtividade incorporados em websites DDP como o Publuu poderiam atuar como um impedimento, evitando a extração e detecção de hyperlinks maliciosos em mensagens de phishing.
Nos incidentes analisados pelo Cisco Talos, os websites DDP são integrados à cadeia de ataque no estágio secundário ou intermediário, normalmente incorporando um hyperlink para um documento hospedado em um website DDP legítimo em um e-mail de phishing.
O documento hospedado no DDP serve como um gateway para um website externo controlado pelo adversário, seja diretamente clicando em um hyperlink incluído no arquivo chamariz ou por meio de uma série de redirecionamentos que também exigem a resolução de CAPTCHAs para impedir esforços de análise automatizada.
A página de destino closing é um website falso que imita a página de login do Microsoft 365, permitindo assim que os invasores roubem credenciais ou tokens de sessão.
“Os websites DDP podem representar um ponto cego para os defensores, porque não são familiares aos usuários treinados e provavelmente não serão sinalizados por controles de filtragem de e-mail e conteúdo da net”, disse Jackson.
“Os websites DDP criam vantagens para os agentes de ameaças que procuram frustrar as proteções contemporâneas contra phishing. Os mesmos recursos e benefícios que atraem usuários legítimos para esses websites podem ser abusados pelos agentes de ameaças para aumentar a eficácia de um ataque de phishing”.
