Pesquisadores revelaram um novo kit de phishing, chamado Xiū gǒu, utilizado em campanhas que têm como alvo usuários na Austrália, Japão, Espanha, Reino Unido e Estados Unidos desde, pelo menos, setembro de 2024.
Segundo a Netcraft, foram identificados mais de 2.000 sites de phishing com o kit Xiū gǒu, usado em ataques direcionados a setores variados, como serviços públicos, postais, digitais e bancários. “Atores de ameaças que utilizam o kit para criar sites de phishing frequentemente dependem dos recursos de anti-bot e ofuscação de hospedagem da Cloudflare para evitar a detecção”, informou a Netcraft em um relatório publicado na quinta-feira.
Partes desse kit foram documentadas por pesquisadores de segurança Will Thomas (@BushidoToken) e Fox_threatintel (@banthisguy9349) em setembro de 2024. Kits de phishing como o Xiū gǒu representam riscos porque facilitam o acesso de hackers menos experientes, aumentando o número de campanhas maliciosas e possíveis roubos de informações sensíveis.
Criado por um ator de ameaças que fala chinês, o Xiū gǒu oferece um painel administrativo e foi desenvolvido com tecnologias como Golang e Vue.js. Além disso, o kit é configurado para exfiltrar credenciais e outras informações das páginas de phishing hospedadas no domínio de nível superior “.top” por meio do Telegram.
As campanhas de phishing são distribuídas via mensagens RCS (Rich Communications Services) em vez de SMS, alertando as vítimas sobre multas de estacionamento e entregas de pacotes falhadas. As mensagens incluem links encurtados para o pagamento de multas ou atualização de endereços de entrega.
“Esses golpes induzem as vítimas a fornecer seus dados pessoais e a fazer pagamentos, supostamente para liberar uma encomenda ou quitar uma multa”, afirmou a Netcraft.
O RCS, amplamente disponível no Apple Messages (a partir do iOS 18) e Google Messages para Android, oferece uma experiência de mensagens aprimorada, com compartilhamento de arquivos, indicadores de digitação e suporte opcional para criptografia de ponta a ponta (E2EE).
No final do mês passado, a gigante de tecnologia detalhou novas proteções para combater golpes de phishing, incluindo uma detecção aprimorada de fraudes com uso de aprendizado de máquina nos dispositivos para filtrar mensagens fraudulentas relacionadas a entregas e oportunidades de emprego.
O Google também está testando alertas de segurança para usuários na Índia, Tailândia, Malásia e Cingapura ao receber mensagens de texto de remetentes desconhecidos com links suspeitos. Essas novas proteções, que devem ser ampliadas globalmente ainda este ano, também bloqueiam mensagens de links de remetentes suspeitos.
Por fim, o Google adicionou a opção de “ocultar automaticamente mensagens de remetentes internacionais que não estão nos contatos existentes”, movendo-as para a pasta “Spam e bloqueados”. Esse recurso foi inicialmente testado em Cingapura.
A divulgação dessas campanhas ocorre em paralelo com a descoberta da Cisco Talos de uma campanha de phishing voltada para usuários de contas comerciais e de publicidade do Facebook em Taiwan, conduzida por um ator de ameaças desconhecido, com o objetivo de distribuir malware como Lumma ou Rhadamanthys.
Essas mensagens atraem as vítimas com um link que, ao ser clicado, as redireciona para um domínio do Dropbox ou Google Appspot, iniciando o download de um arquivo RAR que contém um falso PDF executável, que serve como vetor para o malware.
“O e-mail de isca e os nomes de arquivos PDF falsos foram projetados para se passar pelo departamento jurídico de uma empresa, com o objetivo de atrair a vítima a baixar e executar malware”, disse o pesquisador Joey Chen, da Talos, acrescentando que essa atividade ocorre desde julho de 2024.
Os e-mails exigem a remoção do conteúdo infrator em 24 horas, o fim do uso sem permissão e alertam para possíveis ações legais e indenizações em caso de descumprimento.
Campanhas de phishing também foram observadas se passando pela OpenAI, visando empresas globalmente e solicitando a atualização imediata das informações de pagamento por meio de um link disfarçado.
“Esse ataque foi enviado de um único domínio para mais de 1.000 destinatários”, afirmou a Barracuda em seu relatório. “No entanto, o e-mail usou links diferentes no corpo da mensagem, possivelmente para evitar a detecção. A mensagem passou pelas verificações DKIM e SPF, indicando que foi enviada de um servidor autorizado a enviar e-mails em nome do domínio. Contudo, o próprio domínio é suspeito.”
Via - THN
Comments