Categoria: Inteligência do adversárioIndústria: Banca e finançasMotivação: FinanceiroPaís: ÍndiaFonte*: A1

Sumário executivo

AMEAÇAIMPACTOMITIGAÇÃO

• Os golpistas estão abusando do recurso de domínio temporário, fornecido pela A2 Hosting, para criar sites de phishing para atingir clientes bancários indianos.
• Usando isso, os golpistas são capazes de evitar a detecção e roubar credenciais bancárias na Internet.

• Os dados coletados de sites de phishing podem ser vendidos na dark web.
• Muitos dos links não estão presentes na internet, o que dificulta a classificação antes do início da campanha em grande escala.
• Perda de confiança em bancos personificada pelos sites.

• Escaneamentos em tempo real para identificar e denunciar domínios de phishing, não apenas pelo nome, mas também por marcas registradas e imagens.
• Conscientização dos clientes sobre URLs maliciosos.
• Políticas para garantir que os prestadores de serviços de túnel reverso ajudem as vítimas a derrubar esses sites.

Análise e atribuição

• CloudSEKda plataforma contextual de risco digital de IA XV Vigília descobriu uma campanha de phishing que hospedou um total de 8 subdomínios se passando por páginas da web de um popular banco indiano.
• Os domínios de phishing estavam hospedados na A2 Hosting, uma provedora de hospedagem web com sede nos EUA que oferece hospedagem compartilhada e gerenciada em WordPress, hospedagem VPS, hospedagem de revenda e hospedagem dedicada, além de hospedagem comercial.

Modus Operandi

• Como um modus operandi improvisado, a campanha abusou de um serviço oferecido pela Hospedagem A2.
• Para evitar detecções e remoções, os agentes da ameaça hospedaram sites sob o subdomínio de *.a2hosted.com.
• Para entregar a página de phishing, o golpista usou técnicas de spam baseadas em SMS (smishing).

Registrando subdomínios via A2 Hosting

• A A2 Hosting fornece uma variedade de serviços, incluindo um serviço de domínio temporário que pode ser usado para hospedar qualquer tipo de site sem registrar nenhum novo domínio.
• Tem vários planos flexíveis (de preços diferentes), mas não oferece nenhum serviço gratuito.

[caption id="attachment_21946" align="alignnone” width="1495"] Captura de tela dos serviços oferecidos pela A2 Hosting [/caption] Campanhas de phishing semelhantes

• Os golpistas estão adotando rapidamente novas tecnologias e abusando dos serviços/recursos fornecidos por várias plataformas SaaS.
• Em 2022, o CloudSEK observou uma nova tendência de abuso dos serviços de encaminhamento de domínio (principalmente freemium) oferecidos por provedores de hospedagem na web para hospedar páginas de phishing.
• Essas campanhas geralmente são direcionadas a clientes bancários indianos.
• Anteriormente, os seguintes serviços foram abusados por agentes de ameaças em suas campanhas:
• Serviços de tunelamento reverso oferecido por ngRok, TryCloudFlare, LocalHostrun e muito mais.
• Páginas da Cloudflare
• Prévia da Hostinger Domínio

Referências

• *Fonte de inteligência e confiabilidade da informação - Wikipedia
• ^#Protocolo de semáforo - Wikipedia

Apêndice

[caption id="attachment_21947" align="alignnone” width="1468"] Captura de tela do site de phishing usado por golpistas para roubar as credenciais bancárias online dos clientes [/caption] [caption id="attachment_21948" align="alignnone” width="1538"] Custo mínimo (em INR) para hospedar um site em hospedagem A2 com serviço de domínio temporário [/caption] [caption id="attachment_21949" align="alignnone” width="1912"] Captura de tela da estrutura de preços oferecida pela A2 Hosting [/caption]