Pesquisadores de segurança cibernética descobriram uma nova campanha de phishing que utiliza o Google Desenhos e hyperlinks encurtados gerados pelo WhatsApp para evitar a detecção e induzir os usuários a clicar em hyperlinks falsos projetados para roubar informações confidenciais.
“Os atacantes escolheram um grupo dos websites mais conhecidos em computação para criar a ameaça, incluindo o Google e o WhatsApp para hospedar os elementos de ataque, e um sósia da Amazon para coletar as informações da vítima”, disse o pesquisador da Menlo Safety, Ashwin Vamshi. “Este ataque é um ótimo exemplo de uma ameaça Dwelling Off Trusted Websites (LoTS)”.
O ponto de partida do ataque é um e-mail de phishing que direciona os destinatários para um gráfico que parece ser um hyperlink de verificação de conta da Amazon. Este gráfico, por sua vez, está hospedado no Google Drawings, em um esforço aparente para evitar a detecção.
Abusar de serviços legítimos tem benefícios óbvios para os invasores, pois eles não são apenas uma solução de baixo custo, mas, mais importante, eles oferecem uma forma clandestina de comunicação dentro das redes, já que é improvável que sejam bloqueados por produtos de segurança ou firewalls.
“Outra coisa que torna o Google Drawings atraente no início do ataque é que ele permite que os usuários (nesse caso, o invasor) incluam hyperlinks em seus gráficos”, disse Vamshi. “Tais hyperlinks podem facilmente passar despercebidos pelos usuários, particularmente se eles sentirem uma sensação de urgência em torno de uma ameaça potencial à sua conta da Amazon.”
Os usuários que clicam no hyperlink de verificação são levados para uma página de login semelhante à da Amazon, com a URL criada sucessivamente usando dois encurtadores de URL diferentes — WhatsApp (“l.wl(.)co”) seguido por qrco(.)de — como uma camada adicional de ofuscação e scanners de URL de segurança enganosos.
A página falsa é projetada para coletar credenciais, informações pessoais e detalhes de cartão de crédito, após o que as vítimas são redirecionadas para a página de login unique da Amazon phishing. Como uma etapa additional, a página da net é tornada inacessível a partir do mesmo endereço IP depois que as credenciais são validadas.
A divulgação ocorre no momento em que pesquisadores identificaram uma brecha nos mecanismos antiphishing do Microsoft 365 que poderia ser usada para aumentar o risco de usuários abrirem e-mails de phishing.
O método envolve o uso de truques CSS para esconder a “First Contact Security Tip”, que alerta os usuários quando eles recebem e-mails de um endereço desconhecido. A Microsoft, que reconheceu o problema, ainda não lançou uma correção.
“A Dica de Segurança do Primeiro Contato é anexada ao corpo de um e-mail HTML, o que significa que é possível alterar a maneira como ele é exibido por meio do uso de tags de estilo CSS”, disse a empresa austríaca de segurança cibernética Certitude. “Podemos dar um passo adiante e falsificar os ícones que o Microsoft Outlook adiciona a e-mails que são criptografados e/ou assinados.”
