Novo Ataque de Phishing Exponha Credenciais de Login Através da Pesquisa Google

Ataque de Phishing Google em Destaque

A cada dia, mês e ano que passa, fica claro que os ciberataques simplesmente não estão desaparecendo. Qualquer negócio, pessoa ou setor pode ser atacado a qualquer momento. O mais recente é um golpe de phishing que atacou grandes indústrias, como a construção, e expôs credenciais de login através da pesquisa no Google.

Golpe de Phishing Exposto Através do Google

A Check Point Research alertou o mundo através de um post em blog que credenciais de login roubadas de grandes indústrias foram divulgadas em domínios WordPress comprometidos. Isso foi então descoberto no fórum mais público possível: a pesquisa do Google.

Tudo começou com e-mails que incluíam nomes ou títulos de funcionários na linha de assunto de e-mails fraudulentos. Os funcionários eram de indústrias que incluíam construção, TI, saúde, imobiliário e manufatura. Esses e-mails imitavam notificações da Xerox/Xeros que se originavam de um servidor Linux e eram hospedadas na Microsoft Azure. Spams também foram enviados através de contas de e-mail que haviam sido comprometidas anteriormente, conferindo legitimidade às mensagens.

Golpe de Phishing Pesquisa Google

Arquivos HTML contendo código JavaScript embutido foram anexados aos e-mails. Eles tinham um único objetivo: verificações de antecedentes disfarçadas de senhas. Quando a inserção de credenciais de login foi detectada, elas foram coletadas, com os usuários sendo direcionados para páginas de login.

“Embora essa cadeia de infecção possa parecer simples, ela conseguiu contornar com sucesso o filtro de Proteção Avançada contra Ameaças do Microsoft Office 365 (ATP) e roubou as credenciais de mais de mil funcionários corporativos”, segundo a Check Point.

Os sites sequestrados incluídos neste ciberataque foram construídos na CMS WordPress. A Check Point explicou que esses domínios foram usados como “servidores de zona de queda” para processar as credenciais de login roubadas.

Depois que as credenciais de login foram enviadas para os servidores de zona de queda, elas foram salvas em arquivos que foram então indexados pelo Google, tornando-se públicos. Estavam disponíveis para qualquer um através de uma busca no Google. Mas os servidores foram usados apenas por cerca de dois meses, ligados a domínios .XYZ.

Golpe de Phishing Login Google

“Os atacantes geralmente preferem usar servidores comprometidos em vez de sua própria infraestrutura por causa da reputação bem conhecida dos sites existentes”, explicou a Check Point. “Quanto mais amplamente reconhecida é a reputação, maiores são as chances de que o e-mail não seja bloqueado por fornecedores de segurança.”

Um Aviso para o Futuro

As evidências descobertas mostram que este golpe de phishing específico pode estar em ação há algum tempo. Um e-mail de agosto passado foi comparado com o golpe recentemente descoberto, e ambos tinham a mesma codificação JavaScript.

Tudo isso apenas mostra que não podemos baixar a guarda. Grandes indústrias e qualquer indivíduo ou negócio podem ser afetados, e pode envolver gigantes da tecnologia como o Google e o WordPress. Nada é seguro quando se trata da Internet. Esteja sempre alerta e cuide de suas informações.

Leia mais para saber como a tendência do trabalho remoto levou a um aumento nos ciberataques e aplicativos de colaboração falsos.