Especialistas em segurança cibernética identificaram campanhas de phishing que estão explorando vulnerabilidades em cabeçalhos HTTP para entregar páginas de login falsificadas e roubar credenciais dos usuários.
"Diferente de outros métodos de distribuição de páginas de phishing por meio de HTML, esses ataques utilizam o cabeçalho de resposta do servidor, que é processado antes do conteúdo HTML", explicaram os pesquisadores Yu Zhang, Zeyu You e Wei Wang, da Palo Alto Networks Unit 42.
Esses links maliciosos redirecionam o navegador automaticamente para recarregar a página, sem qualquer interação do usuário. A atividade foi observada entre maio e julho de 2024 e teve como alvo grandes empresas na Coreia do Sul, além de instituições governamentais e escolas nos Estados Unidos.
Mais de 36% dos ataques focaram no setor comercial e econômico, seguido por serviços financeiros (12,9%), governo (6,9%), saúde (5,7%) e tecnologia (5,4%). Esses ataques fazem parte de uma estratégia contínua dos hackers para ocultar suas intenções e enganar as vítimas, explorando domínios de primeiro nível (TLDs) e nomes de domínio populares para facilitar ataques de phishing e redirecionamento.
As cadeias de infecção desses ataques são complexas, caracterizadas pelo uso de URLs maliciosos embutidos em cabeçalhos HTTP que contêm os endereços de e-mail das vítimas. O link incorporado no cabeçalho redireciona os usuários para páginas controladas pelos criminosos, onde suas credenciais são solicitadas.
A cadeia de ataque começa com um e-mail que imita um domínio legítimo ou comprometido. Ao clicar no link, o usuário é redirecionado para uma página de coleta de credenciais. Para tornar o golpe mais convincente, as páginas de login falsas já exibem o endereço de e-mail da vítima pré-preenchido. Além disso, os criminosos utilizam domínios legítimos que oferecem serviços de encurtamento de URL, rastreamento e marketing, aumentando a credibilidade do ataque.
"Esses criminosos imitam com precisão domínios legítimos e redirecionam as vítimas para sites oficiais, mascarando seus verdadeiros objetivos e aumentando as chances de sucesso no roubo de credenciais", destacaram os pesquisadores.
Ataques de phishing e comprometimento de e-mails corporativos (BEC) continuam a ser métodos preferidos para hackers que visam roubar informações valiosas e realizar fraudes financeiras. Segundo o FBI, essas fraudes causaram um prejuízo de US$ 55,49 bilhões a organizações globais entre outubro de 2013 e dezembro de 2023, com mais de 305 mil incidentes relatados.
Além dessas campanhas, os pesquisadores observaram o uso crescente de vídeos deepfake com figuras públicas, CEOs e âncoras de notícias para promover esquemas de investimento fraudulentos, como o Quantum AI. Desde julho de 2023, esses vídeos têm circulado nas redes sociais, levando usuários a páginas fraudulentas onde são convencidos a investir uma taxa inicial de US$ 250.
Os golpistas então instruem as vítimas a baixarem um aplicativo especial para "investir" mais fundos, com o painel de controle do aplicativo mostrando lucros fictícios. No entanto, quando as vítimas tentam sacar o dinheiro, são cobradas taxas ou surgem justificativas como problemas tributários. Em muitos casos, os criminosos bloqueiam o acesso da vítima à conta, ficando com o dinheiro investido.
Paralelamente a esses ataques, foi descoberta uma operação criminosa chamada "Greasy Opal", que fornece serviços automatizados de resolução de CAPTCHAs para outros hackers. Em operação desde 2009, a "Greasy Opal" oferece um kit completo para ataques, como preenchimento de credenciais, criação de contas falsas e automação de navegadores, por US$ 190, além de uma assinatura mensal de US$ 10.
Essa operação gerou, em 2023, uma receita estimada de US$ 1,7 milhão, oferecendo serviços que permitem a criação de um sofisticado modelo de negócios criminoso. A "Greasy Opal" utiliza tecnologia OCR avançada para decifrar CAPTCHAs, mesmo os mais complexos, e desenvolve algoritmos de aprendizado de máquina treinados em grandes conjuntos de dados de imagens.
Entre seus clientes está o grupo vietnamita Storm-1152, conhecido por vender 750 milhões de contas fraudulentas da Microsoft, além de ferramentas e acessos ilegais, por meio de uma rede de sites falsos e páginas em mídias sociais.
"A Greasy Opal criou um conglomerado próspero, oferecendo serviços não apenas de resolução de CAPTCHA, mas também de otimização de SEO e automação de redes sociais, muitas vezes usados para spam e, possivelmente, para a distribuição de malware", afirmou a Arkose Labs.
Essa operação reflete uma tendência crescente de negócios criminosos que operam em uma "zona cinzenta", oferecendo produtos e serviços que, embora legalmente ambíguos, são usados para atividades ilegais.
Via - THN
コメント