Pesquisadores de segurança compartilham uma nova tendência em campanhas de phishing que agora utilizam os chamados URLs IPFS como carga útil.
A descoberta vem de pesquisadores da TrustWave que se depararam com um site chamado página Chameleon Phishing. Sites como este podem alterar seu plano de fundo e logotipo dependendo do domínio do usuário, tornando-o altamente eficiente em tentativas de phishing. A página Chameleon Phishing é armazenada no chamado IPFS (Sistema de arquivos interplanetários). Uma análise dos URLs usados revelou que os agentes de ameaças estão usando cada vez mais e-mails de phishing que contêm URLs IPFS.
Por que os operadores de phishing usam IPFS?
Mais que 3,000 esses e-mails foram descobertos no passado 90 dias confirmando a teoria de que o IPFS é uma plataforma preferida para operadores de phishing.
O que é IPFS? Abreviação de InterPlanetary File System, a plataforma foi criada em 2015 e é distribuído, sistema de compartilhamento de arquivos ponto a ponto para armazenar arquivos, sites, Aplicativos, e dados relacionados. O conteúdo armazenado está disponível por meio de peers que podem armazenar e/ou transferir informações.
Mais especificamente, o sistema pode localizar um arquivo por meio de seu endereço de conteúdo em vez de sua localização. Para poder acessar qualquer conteúdo, os usuários precisam de um nome de host de gateway e do identificador de conteúdo (CID) do arquivo. O sistema visa sustentar uma web descentralizada que depende de comunicações peer-to-peer.
assim, como os phishers tiram vantagem disso? Em IPFS, os arquivos compartilhados são distribuídos para outras máquinas de maneira semelhante a como os nós funcionam, e como tal, eles podem ser acessados sempre que necessário. além disso, o arquivo pode ser recuperado de qualquer nota participante na rede que tenha o conteúdo solicitado, os pesquisadores explicaram. Isso torna os dados no ambiente IPFS persistentes, Considerando que em uma rede centralizada onde os dados não são acessíveis se o servidor estiver inativo ou um link estiver quebrado.
Aí vem a primeira vantagem para campanhas de phishing. “Retirar o conteúdo de phishing armazenado no IPFS pode ser difícil porque, mesmo que seja removido em um nó, ele ainda pode estar disponível em outros nós,”O relatório observou. além disso, pode ser difícil localizar tráfego malicioso em uma rede ponto a ponto legítima. “Com persistência de dados, rede robusta, e pouca regulagem, O IPFS talvez seja uma plataforma ideal para os invasores hospedarem e compartilharem conteúdo malicioso," Os pesquisadores adicionado.
Esta semana, pesquisadores de segurança da IronNet relataram o surgimento de uma nova plataforma de phishing como serviço. Chamado RobinBanks, a plataforma oferece kits de phishing prontos, permitindo acesso a detalhes financeiros e informações pessoais de indivíduos nos EUA, o Reino Unido., Canadá, e na Austrália.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: