Esquema de phishing expõe milhares de senhas roubadas no Google

Os operadores de uma campanha de phishing dirigida aos setores de construção e energia expuseram credenciais roubadas em ataques que podiam ser vistos publicamente com uma simples busca no Google. Na quinta-feira (14), a Check Point Research publicou um post no blog descrevendo a campanha, no qual informações roubadas foram despejadas em domínios WordPress comprometidos.

Esquema de phishing expõe milhares de senhas roubadas no Google
Foto: (reprodução/internet)

O recente ataque de phishing começou com um dos vários modelos de e-mail fraudulentos, incluindo o nome ou título de um funcionário da empresa alvo na linha de assunto.

As mensagens de phishing originaram-se de um servidor Linux hospedado no Microsoft Azure e foram enviadas através da ferramenta de envio de emails PHP Mailer e servidores de e-mail 1&1. O spam também era enviado através de contas de e-mail que tinham sido previamente comprometidas para fazer com que as mensagens parecessem ser de fontes legítimas.

O esquema de Phishing no Google

Os hackers por trás do esquema de phishing incluíram um arquivo HTML anexado contendo código JavaScript incorporado que tinha uma função: verificações secretas do uso de senhas. Quando a entrada de credenciais fosse detectada, elas seriam colhidas e os usuários seriam enviados para páginas de login legítimas.

“Embora esta cadeia de infecção possa parecer simples, ela ultrapassou com sucesso a filtragem do Microsoft Office 365 Advanced Threat Protection (ATP) e roubou mais de mil credenciais de funcionários corporativos”, diz a Check Point.

Leia mais: Microsoft Defender impulsiona resposta a ataques de malware, alterando uma configuração chave

A infra-estrutura dos atacantes inclui uma rede de websites, apoiada pelo sistema de gerenciamento de conteúdo do WordPress (CMS), que foram sequestrados. A Check Point diz que cada domínio foi usado como “servidores de zona de queda” para processar as credenciais recebidas e roubadas.

Senhas expostas, dados roubados

Uma vez que os dados roubados dos usuários eram enviados a servidores, eles eram salvos em arquivos que eram públicos e indexados pelo Google – permitindo que qualquer pessoa os visualizasse através de uma simples busca.

Cada servidor estaria em ação por aproximadamente dois meses e estaria ligado a domínios .XYZ (domínio da Alphabet, empresa subsidiária do Google) que seriam usados em tentativas de phishing. 

Esquema de phishing expõe milhares de senhas roubadas no Google
Foto: (reprodução/internet)

“Os atacantes geralmente preferem usar servidores comprometidos em vez de sua própria infra-estrutura por causa da reputação bem conhecida dos sites existentes”, observou a equipe. 

“Quanto mais amplamente reconhecida uma reputação, maiores são as chances de que o e-mail não seja bloqueado pelos fornecedores de segurança”, eles complementaram.

As consequências do phishing

Com base em um subconjunto de aproximadamente 500 credenciais roubadas, os pesquisadores encontraram uma ampla gama de indústrias-alvo, incluindo TI, saúde, bens imóveis e manufatura. Entretanto, parece que os atores da ameaça têm um interesse particular na indústria de construção e energia.

Leia também: Os novos recursos de proteção de senha no Google Chrome 88

Embora a atribuição seja frequentemente um desafio, um e-mail de phishing de agosto de 2020 foi comparado com a última campanha e foi encontrado por usar a mesma codificação JavaScript, sugerindo que o grupo por trás desta onda já está em operação há algum tempo. 

Traduzido e adaptado por equipe Revolução.etc.br

Fontes: ZDNet, Check Point Research