Pesquisadores de segurança cibernética alertaram sobre um aumento nas páginas de phishing criadas usando uma ferramenta de criação de websites chamada Webflow, à medida que os agentes de ameaças continuam a abusar de serviços legítimos como Cloudflare e Microsoft Sway em seu benefício.
“As campanhas visam informações confidenciais de diferentes carteiras criptográficas, incluindo Coinbase, MetaMask, Phantom, Trezor e Bitbuy, bem como credenciais de login para múltiplas plataformas de webmail da empresa, bem como credenciais de login do Microsoft 365”, disse Jan Michael Alcantara, pesquisador do Netskope Menace Labs. disse em uma análise.
A empresa de segurança cibernética disse ter monitorado um aumento de 10 vezes no tráfego para páginas de phishing criadas usando Webflow entre abril e setembro de 2024, com os ataques visando mais de 120 organizações em todo o mundo. A maioria dos alvos está localizada na América do Norte e na Ásia, abrangendo os setores de serviços financeiros, bancários e tecnológicos.
Os invasores foram observados usando o Webflow para criar páginas de phishing independentes, bem como para redirecionar usuários desavisados para outras páginas de phishing sob seu controle.
“O primeiro fornece aos invasores furtividade e facilidade porque não há linhas de código de phishing para escrever e detectar, enquanto o último dá flexibilidade ao invasor para executar ações mais complexas conforme necessário”, disse Michael Alcantara.
O que torna o Webflow muito mais atraente do que o Cloudflare R2 ou o Microsoft Sway é que ele permite que os usuários criem subdomínios personalizados sem custo adicional, em oposição aos subdomínios alfanuméricos aleatórios gerados automaticamente que podem levantar suspeitas –
- Cloudflare R2 – https://pub-<32_alphanumeric_string>.r2.dev/webpage.htm
- Microsoft Sway – https://sway.cloud.microsoft/{16_alphanumeric_string}?ref={sharing_option}
Na tentativa de aumentar a probabilidade de sucesso do ataque, as páginas de phishing são projetadas para imitar as páginas de login de suas contrapartes legítimas, a fim de enganar os usuários para que forneçam suas credenciais, que são então exfiltradas para um servidor diferente em alguns casos.
A Netskope disse que também identificou websites fraudulentos de criptografia da Webflow que usam uma captura de tela da página inicial de uma carteira legítima como suas próprias páginas de destino e redirecionam o visitante para o website fraudulento actual ao clicar em qualquer lugar do website falso.
O objetivo remaining da campanha de cripto-phishing é roubar as frases iniciais da vítima, permitindo que os invasores sequestrem o controle das carteiras de criptomoedas e drenem fundos.
Nos ataques identificados pela empresa de cibersegurança, os usuários que acabam fornecendo a frase de recuperação recebem uma mensagem de erro informando que sua conta foi suspensa por “atividade não autorizada e falha de identificação”. A mensagem também solicita que o usuário entre em contato com a equipe de suporte iniciando um bate-papo on-line em tawk.to.
É importante notar que serviços de bate-papo como LiveChat, Tawk.to e Smartsupp foram usados indevidamente como parte de uma campanha fraudulenta de criptomoeda apelidada de CryptoCore pela Avast.
“Os usuários devem sempre acessar páginas importantes, como portal bancário ou webmail, digitando a URL diretamente no navegador, em vez de usar mecanismos de busca ou clicar em qualquer outro hyperlink”, disse Michael Alcantara.
O desenvolvimento ocorre no momento em que os cibercriminosos estão anunciando novos serviços anti-bot na darkish net que afirmam ignorar os avisos de navegação segura do Google no navegador Chrome.
“Serviços anti-bot, como Otus Anti-Bot, Take away Crimson e Limitless Anti-Bot, tornaram-se a base de operações complexas de phishing”, disse SlashNext em um relatório recente. “Esses serviços visam evitar que rastreadores de segurança identifiquem páginas de phishing e as coloquem na lista de bloqueio.”
“Ao filtrar bots de segurança cibernética e disfarçar páginas de phishing de scanners, essas ferramentas prolongam a vida útil de websites maliciosos, ajudando os criminosos a escapar da detecção por mais tempo.”
Campanhas contínuas de malspam e malvertising também foram descobertas propagando um malware em evolução ativa chamado WARMCOOKIE (também conhecido como BadSpace), que então atua como um canal para malware como CSharp-Streamer-RAT e Cobalt Strike.
“WarmCookie oferece uma variedade de funcionalidades úteis para adversários, incluindo implantação de carga útil, manipulação de arquivos, execução de comandos, coleta de capturas de tela e persistência, tornando-o atraente para uso em sistemas, uma vez obtido o acesso inicial, para facilitar o acesso persistente e de longo prazo em ambientes de rede comprometidos. ”, disse Cisco Talos.
Uma análise do código-fonte sugere que o malware é provavelmente desenvolvido pelos mesmos agentes de ameaça que Resident, um implante pós-comprometimento implantado como parte de um conjunto de intrusão denominado TA866 (também conhecido como Asylum Ambuscade), juntamente com o ladrão de informações Rhadamanthys. Estas campanhas destacaram o sector industrial, seguido de perto pelo governo e pelos serviços financeiros.
“Embora a segmentação de longo prazo associada às campanhas de distribuição pareça indiscriminada, a maioria dos casos em que foram observadas cargas úteis subsequentes ocorreram nos Estados Unidos, com casos adicionais espalhados pelo Canadá, Reino Unido, Alemanha, Itália, Áustria e Holanda “, disse Talos.
