Categoria: Inteligência do adversárioIndústria: GlobalMotivação: Financeiro

AMEAÇAIMPACTOMITIGAÇÃO

• Os agentes de ameaças estão hospedando sites para campanhas maliciosas centradas no tema “Black Friday”.
• Alvos principais de comércio eletrônico, criptomoedas e viagens.

• As PII e as credenciais bancárias comprometidas podem ser usadas para realizar transações não autorizadas e ataques de engenharia social.
• Entregue malware, ransomware e ladrões.

• Evite clicar em links suspeitos.
• Instale e atualize o antivírus.
• Use senhas fortes.
• Ative o MFA em todos os logins.
• Verifique se há anomalias nas contas e transações.

Sumário executivo

Pesquisadores da CloudSEK observaram uma série de ameaças e campanhas potencialmente maliciosas antes da Black Friday 2022. CloudSEKda plataforma contextual de risco digital de IA XV Vigília descobriu centenas de domínios temáticos da Black Friday registrados e operacionais. As formas comuns de ataques incluíram a personificação de sites legítimos, serviços para anúncios do Google/Facebook e a disseminação de aplicativos maliciosos.

Leia também Campanha de phishing abusando do provedor de serviços de túnel reverso, PortMap.io

Preto Sexta-feira Ameaças cibernéticas temáticas

Falsificação de identidade de sites legítimos

A clonagem de sites é uma técnica comum usada por hackers de todos os níveis de sofisticação para hospedar instâncias falsas de sites legítimos. Isso é feito para coletar informações de identificação pessoal (PII), credenciais e detalhes bancários. Esses dados são então vendidos em fóruns da dark web ou aproveitados para lançar ataques de engenharia social. Por exemplo, o site mostrado abaixo é um domínio falso que se faz passar por “Shoe The Bear”. Foi hospedado no fzmvih [.] top e está anunciando sua promoção na Black Friday. [caption id="attachment_21815" align="alignnone” width="1280"] Site clonado que se faz passar por https [:] //shoethebear [.] com/pages/about\ Ameaças cibernéticas da Black Friday 2022 [/caption]

Espalhe aplicativos maliciosos

Aplicativos maliciosos usam temas como 'Black Friday' para aumentar os downloads e direcionar o tráfego. Por exemplo, o aplicativo Black Friday mostrado abaixo (suspeito de ser malicioso) existe desde 2015 e está disponível em uma loja de aplicativos de terceiros. (veja o Apêndice) O scanner de segurança de aplicativos móveis BeVigil da CloudSEK identificou que o aplicativo solicita várias permissões de alto risco, como 'Câmera', 'Localização fina' e 'Localização grossa'. Ele também é detectado como AppRisk:Generisk por programas antivírus, o que significa que ele pode realizar ações indesejadas no dispositivo que infecta. [caption id="attachment_21816" align="alignnone” width="733"] Aplicativo para Android voltado para a Black Friday [/caption] [caption id="attachment_21817" align="alignnone” width="576"] Figura- BeVigil identificou permissões de aplicativos arriscadas solicitadas pelo aplicativo. [/legenda]

Observações de fóruns de crimes cibernéticos

Os fóruns de crimes cibernéticos em vários idiomas estão repletos de conversas sobre a Black Friday. Enquanto alguns atores estão promovendo seus serviços/campanhas maliciosos, outros estão procurando aproveitá-los. Por exemplo, a postagem abaixo mostra um agente de ameaças procurando serviços de anúncios do Google e do Facebook, provavelmente para promover sua falsa loja temática da Black Friday. [caption id="attachment_21818" align="alignnone” width="862"] Ator de ameaças que busca serviços de anúncios no Google e no Facebook [/caption] Além disso, os agentes de ameaças também oferecem descontos na Black Friday para seus serviços e produtos. Um desses exemplos foi o HostSlick [.] com, que é revisado, usado e avaliado por vários agentes de ameaças no fórum.

Fraudes de criptomoedas

Pesquisadores da CloudSEK descobriram um site fraudulento de sorteio de Ethereum. Os fraudadores tendem a atrair as vítimas para que transfiram Ethereum, prometendo dobrar qualquer investimento em criptomoeda feito com o site.

• Os golpistas aproveitam a ocasião da Black Friday para hospedar esquemas em que os participantes devem transferir alguns ETH para se qualificarem.
• O endereço ETH compartilhado pelos fraudadores tem 340 transações na blockchain Ethereum. Recebeu ~990 ETH (USD 1,149,078). E o valor atual desse endereço é ~124,79 ETH (USD 144.728).
• Um relatório de fraude foi gerado para esse endereço ETH, indicando que os fraudadores aproveitam cada evento significativo para gerar dinheiro. (Veja o Apêndice)

[caption id="attachment_21819" align="alignnone” width="1070"] Site de fraude criptográfica - https [:] //www [.] eth-blackfriday [.] com [/caption]

Leia também Drenador privado para carteiras criptográficas MetaMask

Resultados abertos na Web

Várias vítimas e pesquisadores estão usando ativamente as mídias sociais para divulgar esses golpes contínuos em todo o mundo. [caption id="attachment_21820" align="alignnone” width="597"] Um tweet alegando fornecer 5000 passagens de ida e volta gratuitas para a Europa [/caption] A postagem resume como o WhatsApp está circulando mensagens que dizem “Black Friday Contest 2022”, alegando fornecer 5.000 ingressos gratuitos. Várias postagens suspeitam que seja um malware. Logo depois de ser divulgado nas redes sociais, o link foi retirado do ar.

Referências

• *Fonte de inteligência e confiabilidade da informação - Wikipedia
• ^#Protocolo de semáforo - Wikipedia

Apêndice

[caption id="attachment_21821" align="alignnone” width="1042"] Figura- Os fraudadores que fornecem seu endereço Ethereum para a ETH transferem [/caption] [caption id="attachment_21822" align="alignnone” width="900"] Relatório de fraude associado ao endereço ETH indicando que se trata de uma fraude de criptomoeda por volta da Black Friday [/caption]