Categoria: Inteligência do adversárioIndústria: Setor de serviçosMotivação: FinanceiroRegião: GlobalFonte*: A2

Sumário executivo

AMEAÇAIMPACTOMITIGAÇÃO

• O KFC e o McDonald's são alvos de campanhas de phishing.
• Campanhas voltadas para as regiões da Arábia Saudita, Emirados Árabes Unidos e Cingapura.
• Detalhes de pagamento comprometidos.

• Informações de pagamento roubadas podem levar a perdas financeiras.
• Perda de reputação das marcas que estão sendo falsificadas.

• Fique atento ao fornecer PII e informações bancárias.
• Identifique e denuncie domínios falsos.

Análise e atribuição

Informações da xVigil

• CloudSEKda plataforma contextual de risco digital de IA XV Vigília descobriu um domínio se passando pela Google Play Store e exibindo um aplicativo chamado KFC Arábia Saudita 4+.
• Este aplicativo não é para telefones Android, mas é um aplicativo baseado em navegador para o Chrome.
• Quando o usuário clica no botão de download, o texto no botão muda para “Instalar”.
• Clicar no botão “Instalar” solicita que o usuário instale o aplicativo do navegador KFC Arábia Saudita 4+.
• Após a instalação, um atalho da área de trabalho para o mesmo aplicativo é criado na área de trabalho do usuário.
• Clicando duas vezes no KFC Arábia Saudita 4+ o aplicativo abre uma janela do aplicativo Chrome, que carrega o site em [.] kfc-deliver [.] site, que parece estar inativo no momento da análise.
• Navegação segura do Google detectada em [.] kfc-deliver [.] site como um site de phishing. (Para obter mais informações, consulte o Apêndice seção)

[caption id="attachment_20885" align="alignnone” width="1372"] Diagrama do mapa mental explicando a campanha de phishing [/caption]

Informações da OSINT

• Após uma investigação mais aprofundada, outro site apontando para o KFC foi descoberto: kfc-singapore [.] diversão.
• Este site é uma campanha de phishing sofisticada e elaborada usada para roubar os detalhes dos cartões das vítimas.

[caption id="attachment_20886" align="alignnone” width="1410"] Captura de tela do segundo site de phishing: kfc-singapore [.] fun [/caption]

• Quando a vítima tenta fazer um pedido no site de phishing, ela recebe uma janela pop-up para preencher seus dados no formulário.
• O formulário é bem elaborado e fornece sugestões aos usuários enquanto preenchem seus endereços usando a API do Google Maps.
• O site estava aceitando apenas detalhes do cartão de pagamento que satisfizessem o algoritmo de Luhn para validar se os cartões enviados eram válidos.
• Depois de enviar os detalhes do cartão, a vítima foi solicitada a fornecer a senha de uso único (OTP) recebida por SMS.
• Depois de entrar no OTP, a vítima é levada para outro site se passando por McDonald's, mac-delivery-au-50-deal [.] top. No momento em que este artigo foi escrito, o site estava inativo.

Leia também Páginas da Cloudflare usadas indevidamente em uma campanha de phishing contra clientes bancários indianos

Investigação adicional

KFC

Usando DNS passivo e pesquisas reversas de IP, os pesquisadores da CloudSEK descobriram domínios semelhantes hospedados nos servidores que foram usados pelo site que se passava por KFC: em [.] kfc-deliver [.] site. [caption id="attachment_20887" align="aligncenter” width="999"] Informações de DNS para kfc-deliver [.] site [/caption]

McDonald's

• Usando informações de DNS passivo para o site: mac-delivery-au-50-deal [.] top, Os pesquisadores da CloudSek descobriram que o site de phishing estava ativo por volta de julho de 2021.
• Os seguintes domínios que se fazem passar pelo McDonald's foram descobertos e estavam hospedados no mesmo servidor da web durante o mesmo período.

mcdelivery-hkg [.] topmcdelivery-sale [.] topmcdelivery-ae-sale [.] topmcdelivery-isr [.] topmcdelivery-ae-com [.] topsau-mcdelivery [.] topmcdelivery-sau [.] topmcdelivery-sau [.] topmcdelivery-ch [.] topmcdelivery-sau-deal [.] topmac-delivery-sau [.] topmcdelivery-deu [.] topmac-delivery-sau-50-deal [.] topmc-delivery-deal [.] topmcdelivery-ae-deal [.] topmac-delivery-sau-deal [.] topmac-delivery-com [.] topmcdelivery-ae [.] topmac-delivery-sale [.] topmac-delivery-ads-sale [.] top

Impacto e mitigação

ImpactoMitigação

• Informações comprometidas do cartão de pagamento podem levar a perdas financeiras.
• Os dados coletados podem ser vendidos na dark web para obter ganhos monetários.
• Perda de receita e reputação das marcas que estão sendo falsificadas.
• As PII e os detalhes do cartão compartilhados pelas vítimas podem ser explorados para conduzir:
  • Ataques de engenharia social
  • Fraudes bancárias
  • Roubos de identidade

• Os usuários devem estar atentos ao visitar sites e enviar suas PII e informações bancárias.
• Identifique e denuncie domínios que se fazem passar por nomes de marcas e marcas registradas.
• Crie uma campanha de conscientização inclusiva para educar os clientes sobre os processos da organização.
• Conscientize os clientes sobre URLs maliciosos.

Referências

• *Fonte de inteligência e confiabilidade da informação - Wikipedia
• ^#Protocolo de semáforo - Wikipedia

Apêndice

[caption id="attachment_20888" align="alignnone” width="1372"] Google Play Store exibindo um aplicativo chamado KFC Saudi Arabia 4+ [/caption] [caption id="attachment_20889" align="alignnone” width="1240"] Aplicativo KFC Saudi Arabia 4+ instalado no navegador Chrome [/caption] [caption id="attachment_20890" align="alignnone” width="1082"] Site detectado pelo Google Safe Browsing como um site de phishing [/caption] [caption id="attachment_20891" align="alignnone” width="1051"] KFC-Singapore [.] site divertido que fornece sugestões de endereço usando a API do Google Maps [/caption] [caption id="attachment_20892" align="alignnone” width="1032"] KFC-Singapore [.] site divertido que aceita apenas detalhes de cartão de pagamento válidos [/caption] [caption id="attachment_20893" align="alignnone” width="632"] Mensagem de confirmação OTP no site divertido kfc-singapore [.] [/caption]