Novo ataque de phishing exposto a credenciais de login por meio da Pesquisa Google

Novo ataque de phishing exposto a credenciais de login por meio da Pesquisa Google

A cada dia, mês e ano que passa, fica claro que os ataques cibernéticos não estão indo embora. Qualquer empresa, pessoa ou indústria pode ser atacada a qualquer momento. O mais recente é um esquema de phishing que atacou grandes indústrias, como construção, e expôs as credenciais de login por meio da pesquisa do Google.

Esquema de phishing exposto por meio do Google

A Check Point Research alertou o mundo por meio de uma postagem no blog que foram lançadas credenciais de login roubadas de grandes indústrias em domínios WordPress comprometidos. Em seguida, foi descoberto no fórum mais público possível: a pesquisa do Google.

Tudo começou com emails que incluíam nomes ou cargos de funcionários na linha de assunto de emails fraudulentos. Os funcionários eram de setores que incluem construção, TI, saúde, imobiliário e manufatura. Esses e-mails imitavam notificações de Xerox / Xeros originadas de um servidor Linux e hospedadas no Microsoft Azure. O spam também era enviado por meio de contas de e-mail que haviam sido comprometidas anteriormente, o que confere legitimidade às mensagens.

Arquivos HTML contendo código JavaScript embutido foram anexados aos e-mails. Eles tinham apenas um objetivo: verificação de antecedentes secretos de senhas. Quando a entrada de credenciais de login foi detectada, elas foram coletadas, com os usuários sendo direcionados para páginas de login.

“Embora essa cadeia de infecção possa parecer simples, ela contornou com sucesso a filtragem de Proteção Avançada contra Ameaças (ATP) do Microsoft Office 365 e roubou mais de mil credenciais de funcionários corporativos”, de acordo com a Check Point.

Os sites sequestrados incluídos neste ciberataque foram construídos no CMS WordPress. A Check Point explicou que esses domínios eram usados ​​como “servidores de zona de soltar” para processar as credenciais de login roubadas.

Depois que as credenciais de login foram enviadas aos servidores da zona de soltar, elas foram salvas em arquivos que foram indexados pelo Google, tornando-os públicos. Eles estavam disponíveis para qualquer pessoa por meio de uma pesquisa no Google. Mas os servidores só foram usados ​​por cerca de dois meses, vinculados a domínios .XYZ.

Phishing Scam Login do Google

“Os invasores geralmente preferem usar servidores comprometidos em vez de sua própria infraestrutura por causa da reputação bem conhecida dos sites existentes”, explicou Check Point. “Quanto mais amplamente reconhecida uma reputação, maiores são as chances de que o e-mail não seja bloqueado por fornecedores de segurança.”

Um aviso para o futuro

As evidências descobertas mostram que esse golpe de phishing específico pode já existir há algum tempo. Um e-mail de agosto passado foi comparado com o golpe recentemente descoberto e eles tinham a mesma codificação JavaScript.

Tudo isso mostra que não podemos baixar a guarda. As principais indústrias e qualquer indivíduo ou empresa podem ser afetados, e isso pode envolver gigantes da tecnologia como Google e WordPress. Nada é seguro quando se trata da Internet. Esteja sempre atento e preste atenção às suas informações.

Continue lendo para saber como a tendência de trabalhar em casa levou a um aumento nos ataques cibernéticos e aplicativos de colaboração falsos.

Rolar para cima