Categoria: Inteligência do adversárioIndústria: Finanças e bancos Motivação: FinanceiroRegião: GlobalFonte*: A1

Sumário executivo

AMEAÇAIMPACTOMITIGAÇÃO

• Aumento do uso malicioso de serviços de túnel reverso, como o Ngrok, e de encurtadores de URL, como bit.ly, para lançar campanhas de phishing em grande escala.
• Sites maliciosos são hospedados em máquinas locais que não podem ser rastreadas até os atores.
• Os principais alvos são os bancos e seus clientes.

• Os dados coletados dos sites de phishing podem ser vendidos na dark web.
• Também pode ser usado para criar contas bancárias e cartões falsos.
• Muitos dos links ficam ativos por apenas 24 horas, o que dificulta o rastreamento dos atores.
• Perda de confiança em bancos personificada pelos sites.

• Escaneamentos em tempo real para identificar e falsificar domínios, não apenas pelo nome, mas também por marcas registradas e imagens.
• Conscientização dos clientes sobre URLs maliciosos.
• Políticas para garantir que os prestadores de serviços de túnel reverso ajudem as vítimas a derrubar esses sites.

CloudSEKda plataforma contextual de risco digital de IA XV Vigília identificou um aumento nos sites de phishing hospedados usando serviços de túnel reverso. Neste relatório, analisamos como os agentes de ameaças usam serviços de túnel reverso, junto com encurtadores de URL, para orquestrar campanhas generalizadas, sem deixar rastros.

Os agentes de ameaças agora podem lançar campanhas de phishing não rastreáveis

Os serviços de túnel reverso inauguram uma nova era de phishing, facilitando a permanência dos agentes de ameaças fora do radar.

• Os agentes de ameaças podem hospedar páginas de phishing em sua máquina local e gerar URLs com nomes aleatórios que não podem ser detectados pelos serviços regulares de verificação de nomes de domínio.
• Encurtadores de URL para ofuscar ainda mais os nomes de domínio aleatórios e evitar a detecção.
• Como os URLs permanecem ativos por apenas 24 horas, fica difícil rastrear grupos e suas atividades.
• Não há políticas que obriguem os provedores de serviços a monitorar ou remover URLs maliciosos.

Análise e atribuição

As campanhas tradicionais de phishing exigem que os agentes de ameaças registrem domínios com provedores de hospedagem. Isso significava que, quando um domínio de phishing era detectado e denunciado a um provedor de hospedagem, eles precisavam remover o domínio e cooperar com as autoridades para rastrear grupos de agentes de ameaças. No entanto, os provedores de serviços de túnel reverso atualmente não têm essa responsabilidade. Isso o torna um canal especialmente atraente para os agentes de ameaças lançarem campanhas em grande escala enquanto permanecem anônimos. Os pesquisadores da TRIAD (Divisão de Pesquisa de Ameaças e Análise de Informações) da CloudSEK realizaram uma análise aprofundada de mais de 500 sites que foram hospedados e distribuídos usando os seguintes serviços populares de túnel reverso e encurtadores de URL: Serviços de túnel reversoNGRokLocalHostRuntry | CloudFlareServiços de encurtador de URLMas [.] Luis [.] gdcutt [.] ly Nossa análise mostra que bancos indianos populares, como o SBI, são particularmente alvo de agentes de ameaças que usam serviços de túnel reverso.

Modus Operandi

[caption id="attachment_19695" align="aligncenter” width="1106"] Modo de operação de sites de phishing hospedados usando serviços de túnel reverso [/caption] Etapa 1: Um agente de ameaças hospeda páginas de phishing que se fazem passar por bancos populares em sua máquina local. Em seguida, eles executam serviços de túnel reverso para disponibilizar os URLs aos usuários. Os URLs geralmente têm nomes aleatórios, como: http://776f-2401-4900-3625-4c7e-540a-4ac4-d992-7867[.]in[.]ngrok[.]io/. Etapa 2: Os URLs são então simplificados usando encurtadores de URL para algo inócuo, como: http://ibit[.]ly/oMwK. Etapa 3: Os agentes de ameaças distribuem os URLs simplificados por e-mail, mensagens de texto, WhatsApp, Telegram, páginas falsas de mídia social etc. Prezado usuário, sua <The Target Bank Name>conta será suspensa! hoje, atualize seu PAN CARD, clique aqui para acessar o link https://cutt.ly/ODO2tvB ObrigadaModelo de SMS exibindo mensagem com URL abreviadaEtapa 4: As vítimas que acessam as páginas de phishing são orientadas a compartilhar informações confidenciais, como:

• Credenciais bancárias
• Números do cartão Aadhaar
• Números de cartão PAN

Etapa 5: Como a maioria dos URLs de túnel reverso fica ativa por apenas 24 horas, os agentes de ameaças mantêm o mesmo modelo, mas geram novos URLs diariamente. Mesmo que um URL seja denunciado ou bloqueado, os agentes de ameaças podem facilmente hospedar outra página usando o mesmo modelo.

Visão geral dos serviços populares de túnel reverso

Serviço de túnel reverso da Cloudflare

• O túnel reverso da Cloudflare, chamado Argo Tunnel, permite que qualquer pessoa exponha um servidor ou sistema local à Internet sem abrir nenhuma porta.
• O serviço de túnel reverso executa um processo leve no servidor do usuário que é responsável pela criação de túneis de saída para a rede da Cloudflare.
• Qualquer pessoa com uma conta da Cloudflare pode usar esse serviço gratuitamente.
• O tutorial e a documentação detalhados estão disponíveis em seu site oficial sobre como configurar o Argo Tunnel em um sistema local.
• Exemplo de um domínio de phishing hospedado usando o Cloudflare:
  • URL enviada: https://cutt[.]ly/UDbpGhs
  • URL efetiva: http://ultimate-boy-bacterial-generates[.]trycloudflare[.]com/sbi/

Serviço de túnel reverso Localhost

• localhost [.] run é uma ferramenta sem cliente que disponibiliza um aplicativo em execução local na Internet por meio de uma URL.
• Esse túnel reverso usa SSH como cliente, portanto, nenhum download é necessário para usar o serviço sem configurar uma conta.
• Ele é capaz de encaminhar o tráfego HTTP para o aplicativo hospedado localmente e adiciona automaticamente endpoints HTTPS criptografados.
• Esse serviço vem com planos Freemium e documentação detalhada.
• Exemplo de um domínio de phishing hospedado usando Localhost:
  • URL enviada: http://bit[.]ly/3pkBIUn
  • URL efetiva: https://585928ab103a05[.]localhost[.]run/

Serviço de túnel reverso de Ngrok

• O Ngrok é usado para expor servidores locais por trás de NATs e firewalls à Internet pública por meio de um túnel reverso seguro.
• Esse é um programa que pode ser baixado em uma máquina local e executado para fornecer a porta de um serviço de rede, geralmente um servidor web.
• Esse serviço é usado para executar serviços pessoais em nuvem, hospedar sites de demonstração sem implantação, para criar webhooks etc.
• Ele pode criar um URL HTTPS público para um site executado localmente em uma máquina de desenvolvimento.
• Esse serviço também tem planos Freemium que oferecem aos usuários a flexibilidade de usar subdomínios personalizados em túneis TLS de ponta a ponta.
• Apesar da lógica central por trás dos túneis reversos Cloudflare, LocalHost e Ngrok ser a mesma, devido ao uso indevido extensivo, o Ngrok exige uma conta registrada para hospedar conteúdo HTML. E o tráfego é redirecionado por meio de um subdomínio gerado dinamicamente pelos serviços de túnel reverso.
• Exemplo de um domínio de phishing hospedado usando Localhost:
  • URL enviada: http://ibit[.]ly/oMwK
  • URL efetiva: http://776f-2401-4900-3625-4c7e-540a-4ac4-d992-7867[.]in[.]ngrok[.]io/

Próximas etapas

CloudSEK continuará monitorando e implantando scripts proativos para capturar URLs enviadas publicamente que são geradas para os subdomínios - *.trycloudflare.com, *.ngrok.io e *.localhost.run/ *.lhr.run e relatará a atividade maliciosa para a remoção. Também notificaremos proativamente os serviços de encurtamento de URL, como cutt.ly, bit.ly, byrl.me, is.gd, shrtco.de e bitly.ws, sobre URLs maliciosos usando seus serviços.

Impacto e mitigação

ImpactoMitigação

• Os dados coletados de sites de phishing podem ser vendidos na dark web. Também pode ser usado para criar contas bancárias e cartões falsos.
• Muitos dos links ficam ativos por apenas 24 horas, o que dificulta o rastreamento dos atores.
• Senhas comumente usadas ou senhas fracas podem levar a ataques de força bruta.
• Perda de confiança nas organizações representadas pelas páginas de phishing.
• Isso forneceria aos agentes mal-intencionados os detalhes necessários para lançar ataques sofisticados de ransomware.

• A conscientização entre os clientes deve ser aumentada para alertá-los sobre clicarem apenas em URLs corretos e não em URLs indistinguíveis.
• Escaneamentos em tempo real para identificar e falsificar domínios, não apenas pelo nome, mas também por marcas registradas e imagens.
• Conscientize os clientes sobre URLs maliciosos.
• Implementação de políticas que garantam que os prestadores de serviços de túnel reverso ajudem as vítimas a derrubar esses sites.

Referências

• *https://en.wikipedia.org/wiki/Intelligence_source_and_information_reliability
• ^#https://en.wikipedia.org/wiki/Traffic_Light_Protocol