Ataque de phishing usa reCAPTCHA falso do Google

Ataque de phishing a executivos usa reCAPTCHA falso do Google. Os invasores roubam credenciais de login por meio de telas falsas do Google reCAPTCHA.

Uma campanha de phishing com o tema da Microsoft está usando o falso Google reCAPTCHA na tentativa de roubar credenciais de funcionários seniores de várias organizações, diz um novo relatório da empresa de segurança Zscaler . A empresa afirma que evitou mais de 2.500 emails de phishing vinculados à campanha.

ThreatLabZ, a equipe de pesquisa de ameaças do Zscaler, observou recentemente uma nova série de ataques de phishing com o tema da Microsoft direcionados a funcionários de nível sênior em várias organizações. O ataque é notável por ter como alvo líderes empresariais seniores com títulos como vice-presidente e diretor administrativo, que provavelmente têm um grau mais alto de acesso a dados confidenciais da empresa. O objetivo dessas campanhas é roubar as credenciais de login dessas vítimas para permitir que os agentes da ameaça acessem ativos valiosos da empresa.

Os ataques se espalharam por uma série de setores, com maior atividade nos setores bancário e de TI. Não podemos atribuir esses ataques a nenhum ator de ameaça específico no momento.

Nesses ataques, as vítimas recebem o que parecem ser e-mails automatizados de suas ferramentas de comunicação unificada, indicando que têm um anexo de correio de voz. Quando clicam no anexo, as vítimas encontram uma tela falsa do Google reCAPTCHA e são direcionadas para o que parece ser uma tela de login da Microsoft, permitindo que os agentes da ameaça roubem suas credenciais de login. As páginas de phishing são hospedadas usando domínios genéricos de primeiro nível (TLDs) .xyz, .club e .online.

A equipe de pesquisa de ameaças do Zscaler, ThreatLabZ, que identificou a última campanha, observa que o ataque de phishing está ativo desde dezembro de 2020 e tem como alvo principalmente funcionários seniores do setor bancário.

Táticas de Ataque

A campanha começa com os invasores enviando às vítimas e-mails de phishing que parecem vir de um sistema de comunicação unificado usado para agilizar a comunicação corporativa. Este e-mail contém um anexo de e-mail malicioso.

Assim que as vítimas abrem o arquivo HTML anexado, elas são redirecionadas para um domínio de phishing .xyz que está disfarçado como uma página reCAPTCHA legítima do Google para enganar os usuários.

Depois que o reCAPTCHA é verificado, as vítimas são enviadas para uma página falsa de phishing de login da Microsoft. Depois que as vítimas inserem suas credenciais de login no site do invasor, uma mensagem falsa “validação bem-sucedida” é solicitada para adicionar legitimidade à campanha.

“Esses ataques podem ser categorizados como BEC [comprometimento de e-mail comercial], embora o remetente, neste caso, envolva o uso de sistemas de comunicação unificados populares usados ​​pelas organizações“, aponta Gayathri Anbalagan, pesquisador-chefe do estudo Zscaler. “Não podemos atribuir esta campanha a um ator de ameaça específico, mas olhando para o tema operacional e os perfis-alvo, é provável que seja uma única campanha coordenada.”

Conclusão

A nuvem Zscaler bloqueou mais de 2.500 ataques de phishing com o tema da Microsoft nos últimos três meses que foram hospedados usando domínios TLD genéricos (.xyz, .club, .online).

O diagrama a seguir, publicado pela Zscaler, representa os principais setores visados ​​por esta campanha de phishing, com base na análise do ThreatlabZ:

Porcentagem de ocorrências de phishing detectadas observadas pelo setor na nuvem Zscaler.

Aqui está a distribuição das designações de funcionários alvo.

Para saber mais detalhes do ataque e os IOCs vá até Microsoft-Themed Phishing Attack Targets Executives Using Fake Google reCAPTCHA Technique

Fonte: Zscaler

Clique para saber mais sobre o Unisys Stealth

Veja também: