Desde sensivelmente do inicio do quarto semestre de 2022 que uma campanha de engenharia social está em ascensão. A campanha consiste no envio de um link para um ficheiro PDF, ficheiro esse que contém um endereço (URL) que aponta para o verdadeiro ataque de malicioso.
Este passo extra na apresentação da página tem por objetivo dificultar a detecção do ataque pelos serviços de monitorização de ameaças online. Estes serviços verificam se a página e documento são potenciais ataques mas baseiam-se em verificar apenas a primeira página recebida por email (neste caso, um ficheiro PDF integrado num visualizador online), ou seja, não é detetado qualquer tipo de risco. Essa proteção desaparece quando é aberto o link dentro do PDF.
Inicialmente foi identificado este tipo de abuso de serviços via Dropbox Paper como exemplificado abaixo:
Outros serviços de visualização de PDF
Após a detecção dos ataques através do Dropbox, a mesma técnica foi também observada em serviços alternativos, incluindo:
- Google Drive
- OneDrive da Microsoft.
(GoogleDrive)
(OneDrive)
Landing page maliciosa
Para os vários links as páginas apresentavam templates distintos dependendo de quais as credenciais que os cibercriminosos procuravam obter.
De forma a iludir a vítima, é apresentado em background uma imagem referente a um documento “Payment-Receipt“, mas obviamente o documento não existe. É apenas utilizado como chamariz.
Acredita-se que alguns dos exemplos identificados tratavam-se de spear-phising porque os documentos são apagados muito rapidamente do Dropbox e respectivos serviços de host. Noutras situações ainda as páginas eram colocadas em serviços de cloud ou hosting de PHP.
Para dar uma imagem de legitimidade, os burlões escolheram o domínio windows.net (uma técnica largamente utilizada como documentado aqui).
Além disso, colocaram uma falsa verificação de identidade: um endereço de email profissional específico. Um abordagem também observada em outras páginas como demonstrado a seguir.
Qualquer uma dessas landing-pages abre o popup para a respetiva página de phishing.
As credenciais recolhidas durante este processo eram então enviadas via HTTP POST para um serviço Apache+PHP que as direcionava para emails especificos sob o controlo dos cibercriminosos.
Depois de obter as credenciais e para aliviar quaisquer suspeitas que a vítima possa ter e desta forma não alterar a password ela é finalmente redirecionada para um qualquer documento fidedigno. Por exemplo:
https://www.oliverwyman.]com/content/dam/oliver-wyman/v2/publications/2020/jun/Global-Wealth-Management-Report-2020.]pdf
Exfiltração de dados
O script responsável por enviar os dados obtidos eram alojados em websites legítimos com uma vulnerabilidade no wordpress que foi explorada pelos criminosos para servir o conteúdo malicioso.
Através deste nome de ficheiro bem como os erros que este gera foi possível encontrar campanhas semelhantes de phishing no passado.
Analisando o código PHP consegue-se perceber que o autor foi inspirado por este post no stackoverflow.
Através de uma pesquisa, foi possível identificar uma primeira variante do código malicioso no GitHub. Isto não significa que seja o autor destes ataques, a reutilização de scripts por criminosos age como uma defesa porque um script único ou customizado seria mais fácil de identificar.
Foi também possível verificar nos ficheiros de logs o sucesso da campanha, com os dados das vítimas em plain-text.
Exemplo de informação recebida e presente nos ficheiros:
|----------| RESULT Webmail By JoCk |--------------| |EMAIL : email da vitima |Password : password |----------| I N F O S |--------------| |Client IP: endereço ip |----------| YOUR WELCOME By JoCk|--------------|
Note-se que para além do email e da password da vítima também recebem o endereço IP desta forma podem saber qual a localização aproximada dela, ou até mesmo filtrar profissionais de cibersegurança e ataques de flooding com credenciais falsas.
Esta campanha é possível tratar-se da mesma ferramenta de phishing publicada no artigo produzido pela Microsoft em Setembro de 2021.
Com a venda de kits de phishing e phishing-as-a-service, este tipo de ameaças tornaram-se ataques mais comuns e democratizados.
(source)
Conclusão
Ataques de phishing continuam a acontecer e a ter sucesso. Para subverter este tipo de ataques as soluções técnicas normalmente não serão as mais eficazes. A atenção redobrada para algo que não seja normal do dia a dia digital tem de gerar um alerta e com isso fumentar uma doutrina de cibersegurança em todos nós.
Com a crescente demanda de campanhas desta natureza, existem cada vez mais estratégias para iludir as vítimas, e com isso aumentar o volume de negócio dos cibercriminosos.
Embora não exista uma solução efetiva para combater ataques de engenharia social em geral, a ativação do segundo fator de autenticação (2FA) nos sistemas deve ser sempre realizado se possível. Com essa camada de segurança adicional, e a utilização de one-time passwords e palavras-passe únicas, aleatórias e fortes para cada sistemas, é possível construir um cenário mais dificil de explorar.
Espera-se que modelos alternativos nos próximos anos, como o biométrico, possam substituir o modelo fraco de autenticação: passwords.
Autor: Sergio Razões, developer e entusiasta em cibersegurança
https://twitter.com/RazoesSergio
https://github.com/s-razoes