🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Voltar
Phishing

Desmascarando o engano cibernético: o surgimento de páginas genéricas de phishing voltadas para várias marcas

A pesquisa da CloudSek revela uma estrutura genérica de phishing capaz de atingir várias marcas, aproveitando URLs personalizáveis para se passar por páginas de login legítimas. Hospedadas no workers.dev da Cloudflare, essas páginas de phishing se adaptam dinamicamente usando domínios de e-mail direcionados para gerar planos de fundo realistas, fazendo com que os usuários entreguem credenciais. Os dados roubados são exfiltrados para um servidor remoto por meio de JavaScript ofuscado. As organizações devem aumentar a conscientização por meio de treinamento, simular cenários de phishing e estabelecer protocolos de relatórios claros para mitigar riscos e se proteger contra ameaças de phishing em evolução.
January 24, 2025
4
min
Tabela de conteúdo
Exemplo H2
Exemplo H2

Sumário executivo

A equipe de pesquisa de ameaças do CloudSEK descobriu um página genérica de phishing que pode personificar qualquer marca usando uma página de login genérica para roubar credenciais. A página de phishing é hospedada usando Trabalhadores da Cloudflare.dev, um serviço gratuito de nomes de domínio.

  • A página de phishing de aparência genérica está hospedada nesta URL: workers-playground-broken-king-d18b.supermissions.workers.dev, criada para roubar credenciais de vítimas inocentes.
  • Os ataques de phishing podem ser personalizado para atingir organizações específicas adicionando o endereço de e-mail de um funcionário ao final do URL genérico de uma página de phishing, separado por um símbolo #.
  • O site de phishing usa um captura de tela do domínio encontrado no endereço de e-mail do usuário alvo (por exemplo, google.com) usando thum.io (um gerador gratuito de capturas de tela do site) e o usa como plano de fundo do site de phishing para enganar usuários desavisados.
  • Depois que a vítima insere as credenciais para fazer login, sua as credenciais são exfiltradas para um endpoint remoto - hxxps: //kagn [.] org/zebra/nmili-wabmall.php
  • A página de phishing O DOM foi ofuscado usando JavaScript (nome do arquivo: myscr939830.js) para evitar a detecção de mecanismos fraudulentos.

Análise e atribuição

Análise técnica da página de phishing

1. A página de phishing de aparência genérica está hospedada neste URL: workers-playground-broken-king-d18b.supermissions.workers.dev que é projetado para roubar credenciais de vítimas inocentes.

Figura 1. Uma página de phishing de aparência genérica para roubar credenciais

2. Para transformar a página de login de webmail de aparência genérica em uma representação de um golpe de marca específico, use este URL criado: workers-playground-broken-king-d18b.supermissions.workers.dev/#[email protected].

Figura 2. Na captura de tela, a página genérica de phishing se transformou em uma página de login falsa do Google.

3. Os ataques de phishing podem ser personalizados para atingir organizações específicas, adicionando o endereço de e-mail de um funcionário ao final do URL genérico de uma página de phishing, separado por um # símbolo.

4. O site de phishing faz uma captura de tela do domínio encontrado no endereço de e-mail do usuário alvo (por exemplo, google.com) usando thum.io(um gerador gratuito de captura de tela do site) e o usa como plano de fundo do site de phishing para enganar usuários desavisados.

Figura 3. Ao criar um URL com um e-mail com uma marca segmentada, o site de phishing captura a tela de um site legítimo e a torna em segundo plano

5. Depois que a vítima insere as credenciais para fazer o login, suas credenciais são exfiltradas para um endpoint remoto - hxxps: //kagn [.] org/zebra/nmili-wabmall.php

Figura 4. Captura de tela mostrando a exfiltração da página de phishing falsificada para um servidor remoto controlado pelos golpistas

6. O DOM da página de phishing foi ofuscado usando JavaScript (nome do arquivo:myscr939830.js) [Fig5] para evitar a detecção de mecanismos fraudulentos. No entanto, o JavaScript não era sofisticado e era facilmente desofuscado. Depois de desofuscadas, as funcionalidades da página podem ser verificadas a partir do código-fonte.

Fig5: Fonte de página ofuscada da página de phishing para evitar detecções

7. O trecho de código impede que os usuários visualizem a fonte da página, que pode ser usada para identificar e bloquear tentativas de phishing - Fig6

Fig6Os ataques de phishing podem ser ofuscados bloqueando a capacidade de visualizar a fonte da página

8. Abaixo está a funcionalidade do código-fonte desofuscado que demonstra como uma página de phishing é gerada dinamicamente usando serviços gratuitos do thum.io e do endpoint favicon fetcher do Google.

Figura 7. Plano de fundo gerado dinamicamente ao abusar de serviços gratuitos como google e thum.io

Atribuição

1. Com base na semelhança do arquivo Javascript ofuscado, identificamos outros URLs de phishing empregando as mesmas táticas, mas hospedados no Cloudflare r2.dev: https://pub-3bb44684992b489e903bd3455d3b6513.r2[.]dev/WEBDATAJHNCHJF879476436743YREBHREBNFBJNFHJFEJERUI4894768467RYHGJGFHJGHJ.html

2. Durante uma análise mais profunda do mesmo arquivo JavaScript (myscr939830.js), descobriu-se que ele está hospedado em um serviço gratuito de armazenamento de blockchain, armazenamento web 3..

3. O agente da ameaça exfiltrou as credenciais roubadas para um servidor remoto, kagn [] .org. Este domínio, controlado pelo agente da ameaça, foi registrado há 6 anos e está hospedado no Wordpress. O agente da ameaça provavelmente explorou uma vulnerabilidade e possivelmente colocou o servidor em /zebra/nmili-wabmall.php.

Recomendações

  • Eduque os funcionários sobre como identificar e denunciar campanhas de phishing, concentrando-se nas táticas usadas em ataques genéricos de phishing.
  • Lance uma campanha de conscientização sobre o D2C para educar os clientes sobre os riscos de ataques genéricos de phishing e a importância de permanecerem vigilantes.
  • Implemente um programa de simulação de phishing para testar regularmente a capacidade dos funcionários de reconhecer e responder às tentativas de phishing.
  • Estabeleça um processo claro para denunciar suspeitas de ataques de phishing, garantindo que os funcionários saibam quem contatar e como fornecer informações relevantes.

Referências

Anshuman Das
Cyber Threat Researcher at CloudSEK, investigating emerging threats and vulnerabilities. Passionate about threat intelligence, security awareness, and making cybersecurity accessible to all.
Nenhum item encontrado.

Blogs relacionados

Este é um texto dentro de um bloco div.
Phishing
March 26, 2025
4
min
Além do scanner: como os phishers superam os mecanismos tradicionais de detecção
Leia mais
Este é um texto dentro de um bloco div.
Phishing
February 14, 2025
8
min
Cenário de ataques cibernéticos do Dia dos Namorados: explorando o amor por meio do engano digital
Leia mais
Este é um texto dentro de um bloco div.
Phishing
January 20, 2025
5
min
Facilitando atividades de phishing e abate de porcos usando a infraestrutura do Zendesk [Modo Bait & Switch]
Leia mais