Pesquisadores de segurança cibernética divulgaram um novo equipment de phishing que foi utilizado em campanhas direcionadas à Austrália, Japão, Espanha, Reino Unido e EUA desde pelo menos setembro de 2024.
A Netcraft disse que mais de 2.000 websites de phishing foram identificados no equipment, conhecido como Xiū gǒu, com a oferta usada em ataques direcionados a uma variedade de setores verticais, como setores públicos, correios, serviços digitais e serviços bancários.
“Os atores de ameaças que usam o equipment para implantar websites de phishing geralmente contam com os recursos anti-bot e de ofuscação de hospedagem da Cloudflare para evitar a detecção”, disse a Netcraft em um relatório publicado na quinta-feira.
Alguns aspectos do equipment de phishing foram documentados pelos pesquisadores de segurança Will Thomas (@ BushidoToken) e Fox_threatintel (@ banthisguy9349) em setembro de 2024.
Kits de phishing como o Xiū gǒu representam um risco porque podem diminuir a barreira de entrada para hackers menos qualificados, levando potencialmente a um aumento de campanhas maliciosas que podem levar ao roubo de informações confidenciais.
Xiū gǒu, desenvolvido por um agente de ameaças que fala chinês, fornece aos usuários um painel de administração e é desenvolvido usando tecnologias como Golang e Vue.js. O equipment também foi projetado para exfiltrar credenciais e outras informações de páginas falsas de phishing hospedadas no domínio de nível superior “.prime” through Telegram.
Os ataques de phishing são propagados por meio de mensagens Wealthy Communications Companies (RCS), em vez de SMS, alertando os destinatários sobre supostas penalidades de estacionamento e falhas na entrega de pacotes. As mensagens também os instruem a clicar em um hyperlink encurtado por meio de um serviço de encurtador de URL para pagar a multa ou atualizar o endereço de entrega.
“Os golpes normalmente manipulam as vítimas para que forneçam seus dados pessoais e façam pagamentos, por exemplo, para liberar um pacote ou cumprir uma multa”, disse Netcraft.
RCS, que está disponível principalmente through Apple Messages (a partir do iOS 18) e Google Messages para Android, oferece aos usuários uma experiência de mensagens atualizada com suporte para compartilhamento de arquivos, indicadores de digitação e suporte opcional para criptografia ponta a ponta (E2EE) .
Em uma postagem no weblog no last do mês passado, a gigante da tecnologia detalhou as novas proteções que está adotando para combater golpes de phishing, incluindo a implementação de detecção aprimorada de golpes usando modelos de aprendizado de máquina no dispositivo para filtrar especificamente mensagens fraudulentas relacionadas à entrega de pacotes e oportunidades de emprego.
O Google também disse que está testando avisos de segurança quando usuários na Índia, Tailândia, Malásia e Cingapura recebem mensagens de texto de remetentes desconhecidos com hyperlinks potencialmente perigosos. As novas proteções, que deverão ser expandidas globalmente ainda este ano, também bloqueiam mensagens com hyperlinks de remetentes suspeitos.
Por último, o mecanismo de busca está adicionando a opção de “ocultar automaticamente mensagens de remetentes internacionais que não são contatos existentes”, movendo-os para a pasta “Spam e bloqueados”. O recurso foi habilitado pela primeira vez como piloto em Cingapura.
A divulgação ocorre no momento em que o Cisco Talos revela que os usuários de contas comerciais e publicitárias do Fb em Taiwan estão sendo alvo de um ator de ameaça desconhecido como parte de uma campanha de phishing projetada para fornecer malware ladrão, como Lumma ou Rhadamanthys.
As mensagens de isca vêm incorporadas com um hyperlink que, quando clicado, leva a vítima a um domínio do Dropbox ou do Google Appspot, acionando o obtain de um arquivo RAR que contém um executável PDF falso, que serve como um canal para descartar o malware ladrão.
“O e-mail falso e os nomes de arquivos PDF falsos são projetados para se passar pelo departamento jurídico de uma empresa, tentando induzir a vítima a baixar e executar malware”, disse o pesquisador da Talos, Joey Chen, acrescentando que a atividade está em andamento desde julho de 2024.
“Os e-mails exigem a remoção do conteúdo infrator dentro de 24 horas, a cessação do uso posterior sem permissão por escrito e alertam sobre possíveis ações legais e pedidos de compensação por não conformidade.”
Também foram observadas campanhas de phishing personificando a OpenAI visando empresas em todo o mundo, instruindo-as a atualizar imediatamente suas informações de pagamento clicando em um hiperlink ofuscado.
“Este ataque foi enviado de um único domínio para mais de 1.000 destinatários”, disse Barracuda em relatório. “O e-mail, no entanto, usou hiperlinks diferentes no corpo do e-mail, possivelmente para evitar a detecção. O e-mail passou nas verificações DKIM e SPF, o que significa que o e-mail foi enviado de um servidor autorizado a enviar e-mails em nome do domínio. No entanto, o próprio domínio é suspeito.”
