Criminosos estão a lançar campanha de phishing com o objetivo de exfiltrar credenciais do Skype.

Em época de teletrabalho, esta é mais uma das tentativas de exfiltrar dados sensíveis dos trabalhadores. Os criminosos estão a utilizar um template do Skype como meio de exfiltrarem credenciais do software de video-conferência.

Os e-mails de phishing parecem “estranhamente semelhantes” a um alerta de notificação legítimo do Skype, de acordo com um relatório divulgado pela Cofense na quinta-feira. Os e-mails indicam que os utilizadores têm 13 notificações pendentes do Skype que podem ser validadas ao clicar no botão “Review“.

“It is not uncommon to receive emails about pending notifications for various services,” researchers wrote. “The threat actor anticipates users will recognize this as just that, so they take action to view the notifications. Curiosity and the sense of urgency entice many users to click the ‘Review’ button without recognizing the obvious signs of a phishing attack.”

 

Este ataque é possível através de email spoofing. O sender address faz-se passar por um número de telefone do Skype e email legítimos, no entanto é uma farsa. O endereço de email real – uma conta comprometida – pode ser vista no return-path observada no campo “sent-from”.

Após clicarem no botão do email, as vítimas são direcionadas para uma primeira pagina: hxxps://jhqvy[.]app[.]link/VAMhgP3Mi5 e finalmente para a landing-page: hxxps://skype-online0345[.]web[.]app.

O TLD .app tem sido utilizado em Portugal em diversas campanhas de phishing visando maioritariamente instituições bancárias através de Android Banking Trojans.

Em detalhe, este domínio é também apoiado pelo Google para ajudar os programadores de aplicações a partilhar as suas aplicações com segurança.

No entanto, acrescenta um ar de legitimidade adicional ao ataque de phishing.

“A benefit of this top-level domain is that it requires HTTPS to connect to it, adding security on both the user’s and developer’s end, which is great…but not in this case,” said researchers. “The inclusion of HTTPS means the addition of a lock to the address bar, which most users have been trained to trust. Because this phishing site is being hosted via Google’s .app TLD it displays this trusted icon.”

 

 

A landing-page final, solicita as credenciais de acesso a conta do Skype.

De modo a torna o cenário o mais legítimo possível, o campo do utilizador é automaticamente preenchido, uma vez que o nome do utilizadores é codificado em base64 no email de phishing e depois transmitido para landing-page (afinal de contas, os sistemas legítimos utilizam esse modus operandi).

 

Esta é uma das muitas campanhas de phishing em curso. Depois da Zoom, onde foram publicados milhares de credenciais na darkweb, também o Skype está a ser alvo de enumeros ataques de phishing.

Em Portugal ainda não há registo de campanhas de phishing utilizando esta temática relacionada ao Skype.

Aos utilizadores, sugere-se mais uma vez alguma sensibilidade e análise quando confrontados com situações desta natureza.

Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.

 


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *