Los investigadores de seguridad comparten una nueva tendencia en las campañas de phishing que ahora utilizan las llamadas URL de IPFS como carga útil.
El descubrimiento proviene de los investigadores de TrustWave que encontraron un sitio llamado Chameleon Phishing page.. Los sitios web como este pueden cambiar su fondo y logotipo según el dominio del usuario, lo que lo hace altamente eficiente en los intentos de phishing.. La página de phishing de Chameleon se almacena en el llamado IPFS (Sistema de archivos interplanetarios). Un análisis de las URL utilizadas reveló que los actores de amenazas utilizan cada vez más correos electrónicos de phishing que contienen URL de IPFS..
¿Por qué los operadores de phishing usan IPFS??
Más que 3,000 dichos correos electrónicos fueron descubiertos en el pasado 90 días confirmando la teoría de que IPFS es una plataforma preferida para operadores de phishing.
¿Qué es IPFS?? Abreviatura de sistema de archivos interplanetario, la plataforma fue establecida en 2015 y es un distribuido, sistema de intercambio de archivos peer-to-peer para almacenar archivos, sitios web, aplicaciones, y datos relacionados. El contenido almacenado está disponible a través de pares que pueden almacenar y/o transferir información.
Más específicamente, el sistema puede ubicar un archivo a través de su dirección de contenido en lugar de su ubicación. Para poder acceder a cualquier contenido, los usuarios necesitan un nombre de host de puerta de enlace y el identificador de contenido (CID) del archivo. El sistema tiene como objetivo mantener una web descentralizada que se basa en comunicaciones entre pares..
Así, ¿Cómo se aprovechan los phishers?? En IPFS, los archivos compartidos se distribuyen a otras máquinas de una manera similar a cómo funcionan los nodos, y como tal, se puede acceder a ellos cuando sea necesario. Además, el archivo se puede recuperar de cualquier nota participante en la red que tenga el contenido solicitado, los investigadores explicaron. Esto hace que los datos en el entorno IPFS sean persistentes., mientras que en una red centralizada donde los datos no son accesibles si el servidor está caído o un enlace está roto.
Aquí viene la primera ventaja para las campañas de phishing. “Eliminar el contenido de phishing almacenado en IPFS puede ser difícil porque incluso si se elimina en un nodo, todavía puede estar disponible en otros nodos,”Señaló el informe. Además, puede ser difícil localizar el tráfico malicioso en una red peer-to-peer legítima. “Con persistencia de datos, red robusta, y poca regulación, IPFS es quizás una plataforma ideal para que los atacantes alojen y compartan contenido malicioso.," los investigadores adicional.
Esta semana, investigadores de seguridad de IronNet informaron de la aparición de una nueva plataforma de phishing como servicio. Llamado RobinBanks, la plataforma ofrece kits de phishing listos para usar que permiten el acceso a detalles financieros e información personal de personas en los EE. UU., el Reino Unido., Canada, y Australia.