Investigadores da empresa de segurança RiskIQ descobriram uma nova e sofisticada ferramenta de phishing, apelidada de "LogoKit". Este kit permite aos cibercriminosos adaptar dinamicamente os iscos, logótipos e texto das suas fraudes em tempo real, aumentando significativamente a probabilidade de as vítimas clicarem em mensagens e links maliciosos.
Nos últimos meses, a RiskIQ detetou o LogoKit em funcionamento em cerca de 700 domínios. Adam Castleman, investigador de ameaças na empresa, refere que os analistas estão a monitorizar os piratas informáticos que provavelmente comercializam e distribuem este kit através de fóruns clandestinos para outros grupos de cibercriminosos.
O que torna o LogoKit uma ameaça camaleónica?
Ao contrário dos kits de phishing tradicionais, que utilizam modelos estáticos para replicar a imagem de marcas e serviços conhecidos, o LogoKit oferece aos criminosos uma flexibilidade sem precedentes. Permite-lhes personalizar os ataques para alvos específicos e alterar a aparência do domínio ou das mensagens de phishing quase instantaneamente.
"O que distingue o LogoKit é o uso de serviços legítimos de armazenamento de objetos para alojar as páginas fraudulentas e o código JavaScript, que depois reencaminha as credenciais para um domínio controlado pelo atacante", explica Castleman. "A capacidade de alterar ativamente os logótipos com base no alvo permite a um atacante reutilizar a mesma página fraudulenta para diferentes vítimas sem necessidade de alterações complexas."
Nas últimas semanas, o LogoKit tem sido utilizado para criar portais de login genéricos para ataques de phishing e domínios maliciosos concebidos para suplantar marcas e serviços populares, tais como:
- Microsoft SharePoint
- Adobe Document Cloud
- OneDrive
- Office 365
- Diversas bolsas de criptomoedas
Como funciona o engenhoso esquema do LogoKit
O LogoKit disponibiliza um conjunto de funções JavaScript incorporáveis que interagem com o Modelo de Objeto de Documento (DOM), a camada de apresentação de um website. "Integrar-se com o DOM permite ao script alterar dinamicamente o conteúdo visível e os dados de formulários HTML numa página, tudo sem interação do utilizador", detalha o relatório da RiskIQ. Esta capacidade oferece aos atacantes um vasto leque de opções para enganar visualmente as suas vítimas, seja integrando-o em modelos HTML já existentes ou construindo formulários falsos que imitam portais de login empresariais.
Os criminosos que utilizam o LogoKit podem enviar às vítimas um URL personalizado e especialmente criado, que contém o endereço de email da vítima no próprio link da mensagem de phishing inicial. Se o destinatário clicar nesse link, o kit procura e obtém automaticamente um logótipo da empresa ou marca relevante a partir de um serviço de terceiros, como o Clearbit ou a base de dados de favicons da Google. Isto garante que a página pareça autêntica.
"O email da vítima é também pré-preenchido no campo de email ou nome de utilizador, levando as vítimas a pensar que se trata de um site familiar onde já iniciaram sessão anteriormente", acrescenta o relatório.
Se a vítima inserir as suas credenciais ou outros dados no domínio fraudulento, o LogoKit executa um pedido AJAX que envia essa informação para o servidor de comando e controlo do atacante. De seguida, redireciona o utilizador para o site legítimo da empresa que este pretendia visitar ao clicar no URL.
O relatório da RiskIQ menciona ainda que "algumas versões do LogoKit utilizam truques adicionais, como informar o utilizador que a sua palavra-passe está incorreta e solicitar que a introduza novamente". Um novo pedido AJAX pode então executar outras tarefas, como enviar as credenciais para o email do atacante.
Alvos preferenciais e o submundo dos kits de phishing
O mercado de kits de phishing é uma realidade preocupante no cibercrime. Um relatório de abril de 2020 da empresa de segurança Group-IB revelou que o preço médio de um kit de phishing em fóruns clandestinos em 2019 era de 304 dólares (aproximadamente 280 euros, à taxa de câmbio da altura), com os preços a variarem geralmente entre 20 e 880 dólares (cerca de 18 a 810 euros).
A descoberta do LogoKit sublinha a contínua evolução das táticas de phishing, tornando essencial uma vigilância constante e a adoção de boas práticas de segurança por parte dos utilizadores.
Nenhum comentário
Seja o primeiro!