Além do scanner: como os phishers superam os mecanismos tradicionais de detecção

Sumário executivo

Equipe de pesquisa de ameaças da CloudSEK, com a ajuda do módulo FDF em XV Vigília, monitora continuamente ameaças emergentes que se fazem passar por várias marcas e emprega técnicas sofisticadas para evitar a detecção por mecanismos convencionais de verificação de URL. Dada a evolução das táticas dos cibercriminosos, entender seus métodos é crucial. Nossa equipe de pesquisa de ameaças dedica um tempo significativo à análise dos padrões e estratégias usados por esses agentes de ameaças.

Neste blog, exploraremos como os phishers ignoram as técnicas convencionais de escaneamento de URL e permanecem ativos por longos períodos antes de serem detectados e eliminados.

‍Principais técnicas de evasão de phishing

Filtragem geográfica e baseada em IP

A filtragem geográfica e baseada em IP existe devido a certas leis cibernéticas e à censura de conteúdo digital ou, às vezes, por motivos de segurança. Nessa abordagem, sites censurados veiculam conteúdo somente para usuários que os acessam a partir de um espaço de endereço IP regional na lista branca. Por outro lado, as mesmas técnicas de delimitação geográfica e filtragem baseada em IP também são usadas por cibercriminosos e phishers. Depois que qualquer cliente interage com sites de phishing com cercas geográficas, o site primeiro coleta informações sobre a localização do IP do cliente. Se o IP não corresponder a um espaço de endereço IP específico do país, ele poderá ser redirecionado para outro site com aparência legítima (na maioria dos casos, google.com ou bing.com) ou para o site/página de serviço legítimo que o site de phishing está representando.

‍

‍

Por exemplo, o kit de phishing acima, direcionado à página Chase Wallet, uma instituição bancária com sede nos EUA. O arquivo de configuração verifica vários parâmetros do lado do cliente da vítima/visitante. Na seção de matriz, ela contém nomes de países, indicando que a página de phishing só pode ser acessada por meio de endereços IP pertencentes a esses países; caso contrário, ela será redirecionada para bing.com. Agora, imagine se os scanners de URL não estiverem configurados com um proxy ou com os espaços de endereço IP adequados. Se eles tentarem escanear os URLs que hospedam esse kit de phishing, não conseguirão acessá-los devido às restrições de geofencing.

‍

Filtragem baseada em agente de usuário

UM Agente de usuário é um cabeçalho de solicitação HTTP que fornece informações sobre o cliente (navegador, sistema operacional e dispositivo) que está fazendo as solicitações. Usando essas informações, os desenvolvedores podem otimizar o conteúdo da Web para dispositivos de navegador específicos, fornecer melhores experiências ao usuário e identificar bots, rastreadores ou ferramentas automatizadas.

Nos últimos dias, os phishers se concentraram em distribuir a maioria dos links de phishing via SMS ou mensageiros de mídia social por meio de mensagens diretas (DMs), fingindo ser indivíduos ou organizações populares. Para bloquear tráfego indesejado, eles filtraram todo o tráfego de entrada em suas páginas de phishing hospedadas, restringindo o acesso a dispositivos móveis com base na detecção do User-Agent.

Filtragem baseada em cabeçalho de referência

O cabeçalho Referer é um cabeçalho de solicitação HTTP que fornece informações sobre o URL do qual um usuário navegou até a solicitação atual. Ele é usado principalmente para análise e rastreamento, proteção contra CSRF, personalização de conteúdo e distribuição de anúncios, etc. Nos últimos anos, observamos que os phishers começaram a usar o cabeçalho Referer após veicularem anúncios no Facebook e Instagram com URLs de phishing. Esses sites de phishing verificam o cabeçalho do Referer para determinar se um usuário está acessando o site de uma dessas plataformas de mídia social ou diretamente. Se o usuário acessar o URL de phishing diretamente, a página não exibirá nenhum conteúdo. O mesmo se aplica aos mecanismos de verificação de segurança: se o cabeçalho Referer estiver ausente, a página de phishing permanecerá desconhecida.

Filtragem baseada em parâmetros

A filtragem baseada em parâmetros é uma técnica em que alguma lógica de um arquivo de programa valida os parâmetros de URL de entrada (cadeias de caracteres de consulta, tokens ou identificadores) antes de veicular o conteúdo real de phishing. Os phishers usam esse método para ocultar páginas maliciosas dos scanners de segurança e garantir que somente as vítimas alvo possam acessá-las. Essa técnica ajuda a impedir que os scanners de segurança inspecionem diretamente o conteúdo de phishing e garante que somente as vítimas recebam a página de phishing. Esse método ajuda os links de phishing a permanecerem ativos por um longo período de tempo, a menos que sejam denunciados pela vítima.

Exemplo de URLs parametrizados

https://phishingsite.com/login?session=abc123

https://phishingsite.com/?session=abc123

‍

Recentemente, observamos que, além de abusar dos links de phishing parametrizados, os golpistas estão explorando um recurso clássico de URI que permite aos usuários acessar sites protegidos por senha incorporando credenciais na URL antes do símbolo “@”. Isso segue o formato:

‍

‍

No entanto, mesmo que um site não exija autenticação, inserir qualquer credencial aleatória nesse formato ainda redireciona e carrega o site sem nenhum problema. Os golpistas estão aproveitando esse comportamento criando URLs de phishing, como:

‍

À primeira vista, as vítimas podem presumir que estão visitando realsite.com, mas devido à forma como os navegadores interpretam o URL, eles são realmente redirecionados para fakesite.com—a página de phishing. Essa técnica explora a confiança do usuário e é comprovadamente altamente enganosa, tornando-a eficaz em campanhas de phishing e distribuída via WhatsApp.

‍

Por exemplo, o domínio de phishing mangokl [.] com está se passando por Mango, uma varejista espanhola de fast fashion. Um invasor pode criar um link de phishing enganoso, como:https://shop.mango.com@mangokl[.]com

Um usuário desavisado, ao ver o conhecido “shop.mango.com” no início da URL, pode confiar erroneamente no link e continuar fazendo login sem hesitar, sem saber que está realmente sendo redirecionado para o site de phishing.

‍

‍

‍Detectando esses sites de phishing em grande escala

Os mecanismos de detecção tradicionais geralmente enfrentam tentativas de phishing que empregam técnicas de evasão, como delimitação geográfica, filtragem de agentes de usuário, filtragem de cabeçalhos de referência e filtragem baseada em parâmetros. Para superar esses desafios, a plataforma xVigil da CloudSEK utiliza o módulo Fake Domain Finder (FDF). Este módulo foi projetado para contornar a delimitação geográfica usando diversos endereços IP e proxies de várias regiões, garantindo acesso a sites restritos. Ele também emula diferentes agentes de usuário para detectar tentativas de phishing direcionadas a dispositivos específicos. Além disso, o módulo FDF simula vários cabeçalhos de referência para descobrir sites que dependem desse método de filtragem. Além disso, ele analisa URLs parametrizados, incluindo aqueles com credenciais incorporadas, para identificar páginas de phishing ocultas. A equipe de pesquisa de ameaças do CloudSEK aprimora continuamente os recursos do módulo FDF, atualizando listas de proxy, cadeias de caracteres de agente de usuário, cabeçalhos de referência e lógica de análise de URL para ficar à frente da evolução das táticas de phishing. Essa abordagem abrangente permite que o CloudSEK detecte com eficácia campanhas sofisticadas de phishing que os scanners tradicionais não conseguem.

Referências

• https://www.cloudsek.com/blog/unmasking-cyber-deception-the-rise-of-generic-phishing-pages-targeting-multiple-brands

‍