Os cibercriminosos lançaram uma nova campanha de phishing que engana os usuários, personificando notificações legítimas de filtros de spam de suas próprias empresas.
Esses e-mails falsos afirmam que sua organização atualizou recentemente seu sistema de mensagens seguras e que algumas mensagens pendentes não chegaram à sua caixa de entrada.
A mensagem pede que você clique no botão “Mover para a caixa de entrada” para recuperar os e-mails supostamente retidos. O que parece ser uma notificação útil do sistema é, na verdade, uma armadilha perigosa projetada para roubar os detalhes de login do seu e-mail.
O e-mail de phishing parece surpreendentemente convincente, exibindo títulos genéricos de mensagens e relatórios de entrega que parecem rotineiros e inofensivos.
Inclui até um link de cancelamento de assinatura para fazer com que pareça mais legítimo. No entanto, tanto o botão principal quanto o link de cancelamento redirecionam as vítimas por meio de um redirecionamento cbssports(.)com comprometido antes de chegar ao site de phishing real hospedado em mdbgo(.)io.
Relatórios de entrega de e-mail (fonte – Malwarebytes)
Os invasores codificam seu endereço de e-mail como uma string base64 no URL, permitindo que a página de login falsa exiba seu domínio automaticamente, fazendo com que o golpe pareça ainda mais personalizado e confiável.
Após os avisos iniciais dos investigadores da Unit42 sobre esta campanha, os analistas de segurança da Malwarebytes identificaram que o ataque se tornou mais avançado e continua a mudar rapidamente.
A página de login falsa não é apenas um simples coletor de credenciais, mas usa código altamente ofuscado para ocultar seu verdadeiro propósito.
Coleta de credenciais baseada em Websocket
A configuração técnica por trás deste ataque de phishing o diferencia dos métodos tradicionais. Em vez de simplesmente coletar seu nome de usuário e senha após clicar em enviar, esta campanha usa tecnologia websocket para roubar suas informações instantaneamente.
Um websocket cria uma conexão contínua entre o seu navegador e o servidor do invasor, semelhante a manter uma linha telefônica aberta sem desligar.
Isso permite que os dados fluam em ambas as direções imediatamente, sem atualizar a página.
Quando você digita seu e-mail e senha no formulário de login falso, os invasores recebem suas credenciais em tempo real conforme você insere cada caractere.
Isso lhes dá a capacidade de acessar sua conta de e-mail, armazenamento em nuvem e outros serviços conectados em segundos.
A conexão websocket também permite que invasores enviem solicitações adicionais solicitando códigos de autenticação de dois fatores, possibilitando ignorar até mesmo contas protegidas com camadas extras de segurança.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
