Pesquisadores da Microsoft detectaram uma nova campanha de phishing aproveitando links de redirecionadores abertos (redirecionamentos abertos) em e-mails na tentativa de contornar o software de segurança e induzir os usuários a visitar páginas maliciosas.
relacionado: Infraestrutura de nuvem da Microsoft e do Google abusada por hackers em e-mails de phishing
Links abertos do redictor combinados com engenharia social
O ataque é baseado na combinação de links redirecionadores abertos e truques de engenharia social que se fazem passar por ferramentas de produtividade populares para atrair os usuários a clicar. Assim que um usuário clica no referido link, uma série de redirecionamentos acontecem, incluindo uma página de verificação CAPTCHA. O objetivo desta página é adicionar "um senso de legitimidade" e evitar a análise automatizada, e, eventualmente, levando o usuário a uma página de login falsa. O objetivo final é claro - compromisso de credencial. disse brevemente, as credenciais coletadas podem ser transformadas em armas em novos ataques contra a organização comprometida.
Por que os operadores de phishing estão usando redirecionamentos abertos?
De fato, redirecionamentos abertos em comunicações por e-mail são bastante comuns entre as organizações. Especialistas em vendas e marketing os usam para levar os clientes a páginas de destino específicas e rastrear taxas de cliques. Claro, os invasores encontraram uma maneira de explorar esse recurso vinculando-o a um URL em um domínio confiável e incorporando o URL malicioso final como parâmetro, Microsoft disse. Ao fazer isso, Operadores de phishing podem impedir que usuários e soluções de segurança detectem rapidamente possíveis intenções maliciosas.
"Por exemplo, usuários treinados para passar o mouse sobre links e inspecionar artefatos maliciosos em e-mails ainda podem ver um domínio em que confiam e, portanto, clicar nele. Da mesma forma, soluções de gateway de e-mail tradicionais podem permitir inadvertidamente a passagem de e-mails desta campanha porque suas configurações foram treinadas para reconhecer o URL principal sem necessariamente verificar os parâmetros maliciosos escondidos à vista de todos,” o relatório explicou.
Outra coisa notável sobre esta campanha de phishing é o uso de vários domínios para sua infraestrutura de remetente, também feito com o objetivo de evitar a detecção.
“Isso inclui domínios de e-mail gratuitos de vários domínios de nível superior com código de país (ccTLDs), domínios legítimos comprometidos, e algoritmo gerado por domínio de propriedade do invasor (DGA) domínios,”A empresa relatou. Finalmente 350 domínios de phishing únicos foram detectados até agora apenas nesta campanha. Este detalhe importante revela a determinação e o esforço que os atacantes colocaram na campanha, indicando assim "recompensas potencialmente significativas".
Em fevereiro, pesquisadores descobriram outra nova técnica usada por operadores de phishing: uma nova técnica de ofuscação que usa código Morse para ocultar URLs maliciosos em um anexo de e-mail. Este foi talvez o primeiro caso de agentes de ameaça utilizando o código Morse de tal forma.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: