Em época de teletrabalho, esta é mais uma das tentativas de exfiltrar dados sensíveis dos trabalhadores. Os criminosos estão a utilizar um template do Skype como meio de exfiltrarem credenciais do software de video-conferência.
Os e-mails de phishing parecem “estranhamente semelhantes” a um alerta de notificação legítimo do Skype, de acordo com um relatório divulgado pela Cofense na quinta-feira. Os e-mails indicam que os utilizadores têm 13 notificações pendentes do Skype que podem ser validadas ao clicar no botão “Review“.
“It is not uncommon to receive emails about pending notifications for various services,” researchers wrote. “The threat actor anticipates users will recognize this as just that, so they take action to view the notifications. Curiosity and the sense of urgency entice many users to click the ‘Review’ button without recognizing the obvious signs of a phishing attack.”
Este ataque é possível através de email spoofing. O sender address faz-se passar por um número de telefone do Skype e email legítimos, no entanto é uma farsa. O endereço de email real – uma conta comprometida – pode ser vista no return-path observada no campo “sent-from”.
Após clicarem no botão do email, as vítimas são direcionadas para uma primeira pagina: hxxps://jhqvy[.]app[.]link/VAMhgP3Mi5 e finalmente para a landing-page: hxxps://skype-online0345[.]web[.]app.
O TLD .app tem sido utilizado em Portugal em diversas campanhas de phishing visando maioritariamente instituições bancárias através de Android Banking Trojans.
Em detalhe, este domínio é também apoiado pelo Google para ajudar os programadores de aplicações a partilhar as suas aplicações com segurança.
No entanto, acrescenta um ar de legitimidade adicional ao ataque de phishing.
“A benefit of this top-level domain is that it requires HTTPS to connect to it, adding security on both the user’s and developer’s end, which is great…but not in this case,” said researchers. “The inclusion of HTTPS means the addition of a lock to the address bar, which most users have been trained to trust. Because this phishing site is being hosted via Google’s .app TLD it displays this trusted icon.”
A landing-page final, solicita as credenciais de acesso a conta do Skype.
De modo a torna o cenário o mais legítimo possível, o campo do utilizador é automaticamente preenchido, uma vez que o nome do utilizadores é codificado em base64 no email de phishing e depois transmitido para landing-page (afinal de contas, os sistemas legítimos utilizam esse modus operandi).
Esta é uma das muitas campanhas de phishing em curso. Depois da Zoom, onde foram publicados milhares de credenciais na darkweb, também o Skype está a ser alvo de enumeros ataques de phishing.
Em Portugal ainda não há registo de campanhas de phishing utilizando esta temática relacionada ao Skype.
Aos utilizadores, sugere-se mais uma vez alguma sensibilidade e análise quando confrontados com situações desta natureza.
Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.