Novo ataque de phishing explora marcas populares

Novo ataque de phishing explora marcas populares para coletar credenciais de login.

Uma sofisticada campanha de phishing surgiu, visando organizações na Europa Central e Oriental, que se fazem passar por marcas globais legítimas para enganar os usuários e obter suas credenciais de login.

O ataque utiliza arquivos HTML autossuficientes entregues como anexos de e-mail, eliminando a necessidade de hospedagem em servidor externo ou URLs suspeitos que os sistemas de segurança tradicionais normalmente detectam.

Uma vez abertos, esses anexos apresentam páginas de login falsas e convincentes para marcas como Microsoft 365, Adobe, WeTransfer, FedEx e DHL, criando uma experiência de usuário perfeita, projetada para burlar os controles de segurança de e-mail convencionais.

A metodologia de ataque demonstra uma clara compreensão das práticas comerciais regionais.

Os agentes maliciosos distribuem e-mails de phishing fingindo ser clientes ou parceiros comerciais legítimos, solicitando orçamentos ou confirmações de faturas por meio de nomes de arquivos compatíveis com RFC, como RFQ_4460-INQUIRY.HTML.

Essa abordagem direcionada concentra-se em setores com fluxos de trabalho de aquisição regulares, incluindo agricultura, indústria automotiva, construção civil e educação, principalmente na República Tcheca, Eslováquia, Hungria e Alemanha.

Os analistas de segurança da Cyble identificaram que o sucesso da campanha depende do JavaScript incorporado em anexos HTML, que captura credenciais e as transmite diretamente para bots do Telegram controlados pelo atacante, em vez de servidores de comando e controle tradicionais.

Após a execução do golpe, as vítimas se deparam com uma interface de login cuidadosamente replicada, exibindo a identidade visual autêntica da marca com imagens de fundo desfocadas para maior legitimidade.

Visão geral da campanha

O mecanismo de captura de credenciais funciona lendo os valores dos campos do formulário e construindo solicitações de API para enviar os dados roubados diretamente através da API do Telegram Bot.

A análise técnica revela duas abordagens de implementação distintas entre as amostras analisadas. A primeira variante implementa a criptografia AES do CryptoJS para ofuscação , capturando endereços de e-mail, senhas, endereços IP e informações do agente do usuário antes de redirecionar as vítimas para domínios legítimos da empresa.

A segunda amostra emprega técnicas antiforense mais avançadas, bloqueando combinações de teclado como F12, Ctrl+U/S/C/A/X e menus de contexto do botão direito do mouse para impedir a inspeção e análise do código.

A função de exfiltração demonstra sofisticação técnica ao utilizar a API Fetch nativa para uma implementação de código mais limpa, em vez de dependências do jQuery.

O JavaScript constrói solicitações POST contendo credenciais coletadas , enviadas via HTTPS para os endpoints api.telegram.org/bot, com tokens de bot e IDs de chat embutidos diretamente no payload.

Essa abordagem evita deliberadamente padrões de rede suspeitos, mantendo a resiliência operacional por meio de uma infraestrutura de bots descentralizada.

As organizações devem priorizar a implementação de controles de anexos HTML e políticas de inspeção de conteúdo para bloquear ou isolar arquivos HTML potencialmente maliciosos antes de entregá-los aos usuários finais.

Recomenda-se que as equipes de segurança procurem por atividades POST do domínio api.telegram.org originadas de sistemas de clientes e realizem buscas retroativas por indicadores identificados para avaliar se as credenciais foram comprometidas.

Por: Tushar Subhra Dutta repórter sênior de cibersegurança e violações de dados. Publicado em CyberSecurityNews 

Veja também:

• Hackers exploram vulnerabilidade SSRF em GPTs
• Louvre senha: Louvre
• Cresce número de incidentes reportados à ANPD
• Empresas tem desafio de equilibrar segurança cibernética e inovação
• A falsa sensação de segurança
• Incidente AWS reforça importânica do BCP
• Da inovação à proteção: os desafios da cibersegurança na era da IA
• Guerra digital: como a segurança dos pagamentos se reinventa
• Como SOCs enfrentam as ameaças cibernéticas no Brasil
• Novas vulnerabilidades de IA abrem caminho para vazamento de dados
• 38% dos internautas brasileiros utilizam VPNs regularmente
• Protocolo DeFi sofre ataque de R$ 688 milhões