Uma recente campanha de phishing tira partido de visualizadores de PDF  e impactam utilizadores.

Desde sensivelmente do inicio do quarto semestre de 2022 que uma campanha de engenharia social está em ascensão.  A campanha consiste no envio de um link para um ficheiro PDF, ficheiro esse que contém um endereço (URL) que aponta para o verdadeiro ataque de malicioso.

Este passo extra na apresentação da página tem por objetivo dificultar a detecção do ataque pelos serviços de monitorização de ameaças online. Estes serviços verificam se a página e documento são potenciais ataques mas baseiam-se em verificar apenas a primeira página recebida por email (neste caso, um ficheiro PDF integrado num visualizador online), ou seja, não é detetado qualquer tipo de risco. Essa proteção desaparece quando é aberto o link dentro do PDF.

Inicialmente foi identificado este tipo de abuso de serviços via Dropbox Paper como exemplificado abaixo:

 

Outros serviços de visualização de PDF

Após a detecção dos ataques através do Dropbox, a mesma técnica foi também observada em serviços alternativos, incluindo: 

  • Google Drive
  • OneDrive da Microsoft.

 

(GoogleDrive)

(OneDrive)

 

 

Landing page maliciosa

Para os vários links as páginas apresentavam templates distintos dependendo de quais as credenciais que os cibercriminosos procuravam obter.

De forma a iludir a vítima, é apresentado em background uma imagem referente a um documento “Payment-Receipt“, mas obviamente o documento não existe. É apenas utilizado como chamariz.

 

Acredita-se que alguns dos exemplos identificados  tratavam-se de spear-phising porque os documentos são apagados muito rapidamente do Dropbox e respectivos serviços de host. Noutras situações ainda as páginas eram colocadas em serviços de cloud ou hosting de PHP.

 

Para dar uma imagem de legitimidade, os burlões escolheram o domínio windows.net (uma técnica largamente utilizada como documentado aqui).

Além disso, colocaram uma falsa verificação de identidade: um endereço de email profissional específico. Um abordagem também observada em outras páginas como demonstrado a seguir.

Qualquer uma dessas landing-pages abre o popup para a respetiva página de phishing.

 

As credenciais recolhidas durante este processo eram então enviadas via HTTP POST para um serviço Apache+PHP que as direcionava para emails especificos sob o controlo dos cibercriminosos.

Depois de obter as credenciais e para aliviar quaisquer suspeitas que a vítima possa ter e desta forma não alterar a password ela é finalmente redirecionada para um qualquer documento fidedigno. Por exemplo:

https://www.oliverwyman.]com/content/dam/oliver-wyman/v2/publications/2020/jun/Global-Wealth-Management-Report-2020.]pdf

 

Exfiltração de dados

O script responsável por enviar os dados obtidos eram alojados em websites legítimos com uma vulnerabilidade no wordpress que foi explorada pelos criminosos para servir o conteúdo malicioso.

 

Através deste nome de ficheiro bem como os erros que este gera foi possível encontrar campanhas semelhantes de phishing no passado.

Analisando o código PHP consegue-se perceber que o autor foi inspirado por este post no stackoverflow.

Através de uma pesquisa, foi possível identificar uma primeira variante do código malicioso no GitHub. Isto não significa que seja o autor destes ataques, a reutilização de scripts por criminosos age como uma defesa porque um script único ou customizado seria mais fácil de identificar.

Foi também possível verificar nos ficheiros de logs o sucesso da campanha, com os dados das vítimas em plain-text.

Exemplo de informação recebida e presente nos ficheiros:

|----------| RESULT Webmail By JoCk |--------------|
|EMAIL    :  email da vitima
|Password :  password
|----------| I N F O S |--------------|
|Client IP:  endereço ip
|----------| YOUR WELCOME By JoCk|--------------|

 

Note-se que para além do email e da password da vítima também recebem o endereço IP desta forma podem saber qual a localização aproximada dela, ou até mesmo filtrar profissionais de cibersegurança e ataques de flooding com credenciais falsas.

Esta campanha é possível tratar-se da mesma ferramenta de phishing  publicada no artigo produzido pela Microsoft em Setembro de 2021.

Com a venda de kits de phishing e phishing-as-a-service, este tipo de ameaças tornaram-se ataques mais comuns e democratizados.

(source)

 

Conclusão

Ataques de phishing continuam a acontecer e a ter sucesso. Para subverter este tipo de ataques as soluções técnicas normalmente não serão as mais eficazes. A atenção redobrada para algo que não seja normal do dia a dia digital tem de gerar um alerta e com isso fumentar uma doutrina de cibersegurança em todos nós.

Com a crescente demanda de campanhas desta natureza, existem cada vez mais estratégias para iludir as vítimas, e com isso aumentar o volume de negócio dos cibercriminosos.

Embora não exista uma solução efetiva para combater ataques de engenharia social em geral, a ativação do segundo fator de autenticação (2FA) nos sistemas deve ser sempre realizado se possível. Com essa camada de segurança adicional, e a utilização de one-time passwords e palavras-passe únicas, aleatórias e fortes para cada sistemas, é possível construir um cenário mais dificil de explorar.

Espera-se que modelos alternativos nos próximos anos, como o biométrico, possam substituir o modelo fraco de autenticação: passwords.

 

Autor: Sergio Razões, developer e entusiasta em cibersegurança
https://twitter.com/RazoesSergio
https://github.com/s-razoes