O phishing sempre foi o vetor de ameaça mais popular entre os cibercriminosos em todo o mundo. Os atacantes usam várias ferramentas e técnicas de phishing para obter detalhes confidenciais, incluindo dados financeiros e de informações de identificação pessoal (PII) de suas vítimas. Esses dados são então usados indevidamente para realizar aquisições de contas, roubos de identidade, transações fraudulentas, etc.

Recentemente, nossa equipe de pesquisa descobriu uma postagem interessante, em um fórum de crimes cibernéticos em russo, de um agente de ameaças anunciando um kit de ferramentas de phishing. Na primeira postagem do ator relacionada ao serviço de phishing, eles estavam vendendo apenas pacotes de assinatura mensal. No entanto, por meio de uma fonte confiável, reunimos outros detalhes sobre essa campanha de phishing, incluindo as táticas, técnicas e procedimentos (TTPs) usados.

Análise dos serviços de phishing do Threat Actor

Informações da HUMINT

• O preço do kit de phishing varia de USD 15 a USD 2.000, dependendo das personalizações escolhidas pelo comprador (atacante).
• O serviço fornece serviços de phishing que falsificam organizações em diferentes setores, incluindo finanças e bancos.
• Os kits de phishing supostamente têm a capacidade de contornar várias medidas de autenticação.

Principais características do serviço de phishing

• Os serviços de phishing anunciados pelo agente da ameaça podem ser usados para roubar credenciais e ignorar a autenticação multifatorial.
• O kit de ferramentas de phishing também inclui registros que serão entregues ao atacante por meio de um servidor.
• O serviço usa um kit de proxy reverso que captura as informações de login das vítimas, incluindo credenciais e registros de sessão que são convertidos em arquivos JSON no servidor.

Sobre o Threat Actor

• O ator da ameaça, que recentemente se juntou ao fórum de crimes cibernéticos, fez várias postagens detalhando diferentes métodos para orquestrar ataques de phishing.
• A equipe de pesquisa de inteligência de ameaças da CloudSek observou pela primeira vez sua postagem, em um fórum de crimes cibernéticos em russo em novembro de 2021, anunciando serviços de phishing direcionados à AT&T.
• O ator demonstrou sua experiência em phishing e a eficácia de seus serviços compartilhando tutoriais detalhados e POCs (Prova de Conceito) sobre como realizar ataques de phishing usando seus kits. Isso aumentou a credibilidade do ator entre outros membros do fórum.
• As postagens do agente de ameaças também destacam que eles estão constantemente buscando novas maneiras de desenvolver e implantar serviços de phishing que visam e falsificam grandes organizações, como AT&T e Google, e entidades governamentais como a NASA.
• O agente da ameaça forneceu informações sobre suas contas de mídia social, bem como endereços para suas carteiras Monero, Bitcoin e Ethereum.
• A atividade do ator nas redes sociais indica que ele é hábil em vários ataques baseados na web, além do phishing.
• Existem dois domínios pertencentes ao ator, Sítio 1 (uma plataforma para publicar informações de doxing) e Sítio 2 (um site que anuncia phishing como serviço), ambos com interfaces de usuário e conteúdo idênticos. (Para obter mais informações, consulte o Apêndice)

Neste artigo, usaremos o exemplo do kit de phishing do Gmail do agente de ameaças para entender como eles orquestram campanhas de phishing capazes de enganar milhões de usuários.

Análise do kit de phishing do Gmail do Threat Actor

Em uma de suas postagens recentes, o agente da ameaça anunciou um kit manual de phishing do Google Mail que rouba as credenciais e os registros de sessão dos usuários.

Criando e-mails de phishing convincentes

A maioria das campanhas de phishing funciona porque consegue convencer a vítima de sua legitimidade. Nesse caso, o agente da ameaça fornece a capacidade de explorar determinados domínios para enviar e-mails que parecem legítimos.

• Nesse caso, o ator usa uma solicitação manipulada capturada do site open.gsa.gov/api/regulations.gov/.
• Essa solicitação permite que o atacante altere os parâmetros no lado do cliente, que podem ser encaminhados à vítima após fazer as modificações necessárias.

• Os valores padrão podem ser visualizados inspecionando a fonte da página do site, conforme mostrado na imagem abaixo:

O ator pode falsificar e-mails de domínios de renome, como:

• .nasa.gov
• .data.gov
• .senado.gov

De acordo com os comentários do ator no fórum de crimes cibernéticos, eles podem estar procurando diferentes organizações governamentais e não governamentais como alvo para enviar e-mails alterando o conteúdo do lado do cliente. Esses métodos e serviços podem resultar na amplificação dos ataques de spear-phishing, do roubo de credenciais e da aquisição de contas de vítimas específicas em uma organização.

Como os kits de phishing exploram o Gmail

Quando a vítima clica no link do e-mail de phishing, ela é redirecionada para uma página de phishing do Gmail.

• O kit de phishing do Gmail começa com uma página de login e uma página de senha que coletam o e-mail ou número de telefone e a senha do usuário.

• Depois disso, o kit de phishing exibe uma página personalizada que informa a vítima sobre o limite da taxa e, a partir daí, o atacante pode selecionar outras diretivas para alertar a vítima.

• Com base no IP da vítima, a página busca ainda mais o código do país que será exibido na etapa de autenticação. O método alternativo ou o próximo botão presente na página é obter o e-mail de recuperação da vítima. Todas essas informações são enviadas como um registro para o atacante.

O kit de phishing do Gmail vem com personalizações opcionais, como:

• Notificações de alerta e atualização automática sempre que novos registros forem capturados.
• Adicionar ou remover a página de limite de taxa.
• Ativar ou desativar os métodos de proteção de bots, como o captcha.
• Opções para escolher o que a vítima deve ver após a página de senha.

O kit mencionado acima tem um preço tão baixo quanto USD 50 a USD 70. De acordo com o agente da ameaça, os invasores que compram esses kits tendem a vender os registros coletados nas páginas de phishing para quem pagar mais.

Impacto generalizado das campanhas de phishing do Gmail

Como o Gmail tem mais de 1,5 bilhão de usuários ativos, esse kit de phishing, em particular, tem o potencial de causar impacto em grande escala porque:

• Os usuários tendem a reutilizar suas credenciais de e-mail em outras contas, incluindo seus logins bancários.
• É uma prática comum usar contas do Gmail para se inscrever em sites de comércio eletrônico e em outros serviços.
• Costumamos receber detalhes confidenciais, como extratos bancários, contas e convites para reuniões por e-mail, que podem ser usados para realizar ataques direcionados às vítimas.
• Os agentes de ameaças podem se passar pelo titular do e-mail para fraudar seus contatos.
• Os agentes de ameaças podem usar OTPs e códigos de autenticação recebidos nas contas do Gmail para contornar a autenticação multifatorial

Apêndice

Registros Whois de Sítio 1:

Este domínio foi marcado como malicioso por dois softwares antivírus sob a tag de 'phishing'.

Registros Whois de Sítio 2 

Esse domínio ainda não é detectável e não tem nenhum método ou kit de phishing para os usuários baixarem.