Categoria: Inteligência do adversárioIndústria: Banca e finançasMotivação: FinanceiroRegião: Ásia e Pacífico

Sumário executivo

AMEAÇAIMPACTOMITIGAÇÃO

• Os golpistas usam um provedor de serviços de formulário gratuito sem integração de código para encaminhar as informações de PII das vítimas para um e-mail verificado.
• Usando isso, os golpistas podem roubar credenciais bancárias e PII.

• Detalhes de PII roubados podem ser usados para alimentar várias campanhas de engenharia social
• As vítimas podem ser exploradas financeiramente.

• Use o xVigil para acompanhar ativamente os eventos e tomar as medidas necessárias.
• Eduque os clientes sobre essas atividades fraudulentas por meio de várias postagens nas redes sociais.

Análise e atribuição

• CloudSEKda plataforma contextual de risco digital de IA XV Vigília descobriu uma campanha de phishing abusando de uma plataforma SaaS, chamada Formulário de envio, para se passar por um banco indiano popular.
• O FormSubmit é um serviço de formulários sem código, projetado para enviar dados de entrada de um formulário HTML diretamente para um endereço de e-mail especificado.
• Esta campanha foi descoberta durante a análise de um domínio suspeito que foi classificado como uma ameaça pela XVIigil em 10 de novembro de 2022.

Informações do domínio falso

• As seguintes informações foram coletadas dos registros do WHOIS:
  • Data de criação: 08 de novembro de 2022
  • Data de atualização: 08 de novembro de 2022
  • Registrador de domínio: GoDaddy

Usando o FormSubmit para criar uma página de phishing

O FormSubmit não requer integração, mas um formulário projetado para um site e pode ser configurado em 3 etapas:

1. Conectando formulário no site hospedado
2. Inclua atributos em todos os elementos do formulário (como <input>, <select> e <textarea>) para receber os dados de envio
3. O primeiro envio do formulário exige que o usuário confirme o endereço de e-mail especificado.

[caption id="attachment_22008" align="alignnone” width="1920"] Captura de tela do site do FormSubmit [/caption] Campanhas de phishing semelhantes

• Os golpistas estão adotando rapidamente novas tecnologias e abusando dos serviços/recursos fornecidos por várias plataformas SaaS.
• Em 2022, o CloudSEK observou uma nova tendência de abuso dos serviços de encaminhamento de domínio (principalmente freemium) oferecidos por provedores de hospedagem na web para hospedar páginas de phishing.
• Essas campanhas geralmente são direcionadas a clientes bancários indianos.
• Anteriormente, os seguintes serviços foram abusados por agentes de ameaças em suas campanhas:
• Serviços de tunelamento reverso oferecido por ngrok, TryCloudFlare, LocalHostrun e muito mais.
• Páginas da Cloudflare
• Prévia da Hostinger Domínio
• Serviços da A2 Hosting

Referências

• *Fonte de inteligência e confiabilidade da informação - Wikipedia
• ^#Protocolo de semáforo - Wikipedia

Apêndice

[caption id="attachment_22009" align="alignnone” width="1412"] Captura de tela do site de phishing usado por golpistas para roubar detalhes de PII dos clientes [/caption]