Grupos de hackeres estão a usar o Google Translate para esconder malware

Grupos de hackeres estão a usar o Google Translate para esconder malware.

Alguns grupos de hackeres estão a utilizar o Google Translate para esconder o verdadeiro domínio dos websites maliciosos de phishing.

Já foram de resto observados inúmeros emails de phishing que estão a utilizar esta técnica in-the-wild.

O truque, em si, não é complexo. A ideia é enviarem emails massivos de phishing via email, mas em vez de distribuirem a campanha com o URL final da landing page, a URL é passada pelo Google Translate e utilizam o endereço gerado por esse serviço.

Esta técnica tem a capacidade de mascarar o end-point malicioso, e pode ter bastante sucesso uma vez que não é detetada por firewalls e antivírus uma vez que apontam para endereços legítimos da Google.

Quando a vítima clicar em alguma hiperligação, ou botão presente no email de phishing, é então direcionado para o portal do Google Tradutor, onde a página de phishing é carregada com a barra de ferramentas do Google Tradutor na parte superior da página.

Esta técnica pode ser muito efetiva contra os utilizadores menos atentos. No entanto, há vários indicadores que podem gerar alertas, como p.ex., se as vítimas passarem o rato dentro dos emails para observar o domínio associado a uma hiperligação podem facilmente detetar que é invocada uma página do Google Translate.

No entanto, estes e-mails de phishing parecem mais convincentes e fortivos em dispositivos móveis.

Os layouts compactos de clientes de e-mail e navegadores impossibilitam links flutuantes e a barra de ferramentas do Google Translate fica muito parecida com uma barra de endereços do navegador de Internet.

Uma dessas campanhas foi descoberta pelo pesquisador de segurança da Akamai, Larry Cashdollar, no mês passado.

Segundo o investigador, este tipo de campanhas torna-se mais efetiva quando acedida via dispositivos móveis.

I switched over to my laptop and logged into my personal Gmail account. One look at the sender address and my suspicions were confirmed. The email was a complete fake. The interesting thing is, the message looked much more convincing in its condensed state on my mobile device.

Ao clicar no botão do email malicioso, a vítima é direcionad para a seguinte hiperligação do Google Translate com uma página de autenticação do Google (uma página falsa).

Os utilizadores mais desatentos necessitam ter uma maior preocupação com este tipo de ataques in-the-wild, pois parecem ser legítimos quando acedem pela primeira vez à URL.

Para mais detalhe sobre a investigação ver este link.

Pedro Tavares

Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.

In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.