Atacantes, cujo principal objetivo é roubar várias credenciais, estão recorrendo cada vez mais a serviços de nuvem pública para hospedar arquivos falsos e páginas de phishing. Até os serviços do Google estão sendo usados para phishing.
Especialistas da Check Point avisar que no início deste ano eles descobriram uma campanha, que estava abusando dos serviços de nuvem do Google. Os golpistas desenvolveram um esquema interessante que inclui vários elementos legítimos para ocultar o roubo de credenciais. Essa tática torna muito mais difícil detectar ataques.
O ataque começa com os invasores enviando um documento PDF malicioso para o Google Drive. Este documento contém um link para uma página de phishing (alegadamente, o conteúdo está disponível apenas através do SharePoint e portanto você precisa seguir o link).
A própria página de phishing estava hospedada em armazenamento.googleapis[.]com/asharepoint-unwearied-439052791/index.html. Lá, o usuário foi solicitado a entrar no Office 365 ou e-mail corporativo. Quando a vítima selecionou uma das opções de login, um pop-up de login do Outlook apareceu.
Interessantemente, depois de inserir as credenciais, o usuário realmente recebeu um relatório em PDF de uma empresa internacional respeitável. Os pesquisadores escrevem que é improvável que as vítimas percebam tal fraude, porque as páginas são carregadas de fontes supostamente legítimas e não levantam suspeitas.
Apenas uma olhada no código-fonte da página de phishing mostra que a maioria dos recursos é baixada dos cibercriminosos’ prvtsmtp do site[.]algo.
“Descobriu-se que os invasores estão usando o serviço Google Cloud Functions, o que lhes permite executar código na nuvem, e os recursos da página de phishing são carregados do Google Cloud Functions sem expor os invasores’ próprios domínios maliciosos”, — Especialistas da Check Point escrevem.
A pesquisa mostrou que prvtsmtp[.]сom e muitos outros domínios associados a este ataque de phishing resolvem para o mesmo endereço IP (ucraniano 31.28.168[.]4) e outros endereços neste bloco.
Isso permitiu que os especialistas rastreassem a atividade desses invasores até 2018, quando eles agiram de maneira semelhante: primeiro, eles colocaram páginas de phishing diretamente em um site malicioso, e depois mudei para o Azure.
“Os hackers são atraídos por serviços de armazenamento em nuvem que frequentemente usamos e confiamos, tornando muito mais difícil detectar ataques de phishing. “Sinais de alerta” tradicionais de ataques de phishing, como domínios semelhantes ou sites sem certificados, não nos ajudará mais muito”, - disse Lotem Finkelsteen, um analista de ameaças líder na Check Point.
A Check Point recomenda que os usuários da plataforma de nuvem do Google, até mesmo usuários AWS e Azure, deve ter muito cuidado com essa tendência.
Deixe-me lembrá-lo também que o GitLab verificou seus funcionários: em phishing recebi cada quinto.
As medidas práticas que todos podemos tomar para nos mantermos protegidos contra estes ataques oportunistas são:
- Cuidado com domínios semelhantes, erros ortográficos em e-mails ou sites, e remetentes de e-mail desconhecidos.
- Tenha cuidado com arquivos recebidos por e-mail de remetentes desconhecidos, especialmente se eles solicitarem uma determinada ação que você normalmente não faria.
- Certifique-se de encomendar produtos de uma fonte autêntica. Uma maneira de fazer isso é NÃO clicar em links promocionais em e-mails, e ao invés, Pesquise no Google o revendedor desejado e clique no link da página de resultados do Google.
- Cuidado com ofertas “especiais”. “Uma cura exclusiva para o coronavírus por US$ 150” geralmente não é uma oportunidade de compra confiável.
Certifique-se de não reutilizar senhas entre aplicativos diferentes.
