A Infoblox publicou seu relatório do segundo trimestre de 2022, chamando a atenção para muitas ameaças de malware para as organizações. A pesquisa compila as principais ameaças e brechas de segurança detectadas durante os meses de abril a junho de 2022 e destaca o smishing como uma das formas de ataque mais proeminentes
O smishing, estratégia de ciberataque que combina SMS e phishing, revelou-se um novo e sofisticado mecanismo para obtenção de informações pessoais e financeiras das vítimas, por meio de formulários falsos em sites fraudulentos. Uma onda de ataques VexTrio usando algoritmo de geração de domínio de dicionário (DDGA) infectou vários sites criados no WordPress, que por sua vez infectam os visitantes desses sites com malware ou spyware executando o código Javascript.
A Infoblox, líder em serviços de rede seguros e gerenciados em nuvem, publicou uma nova edição do Quarterly Cyberthreat Intelligence Report (Relatório Trimestral de Inteligência de Ameaças Cibernéticas, tradução em português) da empresa, um relatório de inteligência de segurança que compila trimestralmente as principais ameaças e violações de segurança detectadas nos últimos meses em todo o mundo. Entre as principais conclusões deste relatório, que abrange os meses de abril a junho de 2022, estão:
Smishing – Estratégia que combina SMS e phishing
Mensagens smishing são enviadas por malfeitores para fazer com que as vítimas revelem informações privadas, incluindo senhas, identidade e dados financeiros. As mensagens normalmente incluem algum incentivo para o destinatário clicar em um link, que pode ser para um site que hospeda malware ou uma página que tenta convencer o usuário a enviar dados por meio de um formulário.
Os atores usam regularmente números de remetentes falsificados nas mensagens de texto para escapar dos filtros de spam. No entanto, as mensagens que não são detectadas automaticamente pela operadora de celular podem ser interrompidas bloqueando o número de telefone do remetente. Em resposta, os agentes de ameaças continuam a desenvolver suas próprias técnicas.
Em uma versão bem conhecida de falsificação de telefone celular, um destinatário recebe uma mensagem de texto ou uma ligação de alguém que parece estar na área próxima ao destinatário. Os usuários hesitam em bloquear números de telefone locais por medo de que isso também bloqueie chamadas e mensagens legítimas.
A falsificação do número de telefone do destinatário é outro avanço dos atores para superar a filtragem e bloqueio de spam e convencer os usuários a clicar nos links embutidos nas mensagens.
Prevenção e mitigação
As mensagens smishing são um método comum para enviar links de phishing. A Infoblox recomenda as seguintes precauções para evitar ataques smishing:
- Desconfie sempre de mensagens de texto inesperadas, especialmente aquelas que parecem conter correspondências financeiras ou de entrega, documentos ou links;
- Nunca clique em URLs em mensagens de texto de fontes desconhecidas. Na campanha em discussão, a fonte foi o destinatário, que não enviou a mensagem, e isso é um sinal de alerta.
Domínios VexTrio DDGA espalham adware, spyware e formulários da Web fraudulentos
Desde fevereiro de 2022, o Threat Intelligence Group (TIG) da Infoblox rastreia campanhas maliciosas que usam domínios gerados por um algoritmo de geração de domínio de dicionário (DDGA) para executar golpes e espalhar riskware, spyware, adware, programas potencialmente indesejados e conteúdo pornográfico. Esse ataque é generalizado e afeta alvos em muitos setores. Os atores do VexTrio usam fortemente domínios e o protocolo DNS para operar suas campanhas. Os atores utilizam sites WordPress vulneráveis como vetores de ataque para fornecer conteúdo fraudulento a visitantes desconhecidos do site.
Para conseguir isso, eles primeiro detectam sites que mostram vulnerabilidades de script entre sites (XSS) em temas ou plug-ins do WordPress e, em seguida, injetam código JavaScript malicioso neles. Quando as vítimas visitam esses sites, elas são direcionadas a uma página de destino que hospeda conteúdo fraudulento, por meio de um ou mais domínios de redirecionamento intermediários que também são controlados pelos atores.
Além disso, como forma de evitar a detecção, os atores integraram vários recursos em seu JavaScript e exigem as seguintes condições do usuário para acionar o redirecionamento:
- O usuário deve visitar o site WordPress a partir de um mecanismo de busca. Por exemplo, o URL do referenciador pode ser https://www.google.com/;
- Os cookies são ativados no navegador da web do usuário;
- O usuário não visitou uma página da Web comprometida com o VexTrio nas últimas 24 horas.
O VexTrio abusa principalmente de sites WordPress vulneráveis para fornecer conteúdo indesejado aos visitantes. A incorporação de código JavaScript malicioso em blogs da Web frequentemente visitados e outros sites populares, mas vulneráveis, ajuda os atores a ampliar seu alcance. A Infoblox avalia que a campanha VexTrio DDGA pode servir como um vetor de entrega para outros sindicatos do crime cibernético e, assim, permitir ataques subsequentes.
A Infoblox recomenda as seguintes ações para proteção contra esse tipo de ataque:
- Desativar completamente o JavaScript em navegadores da Web ou ativá-lo apenas para sites confiáveis pode ajudar a mitigar os ataques empregados pelos agentes do VexTrio, que aproveitam o uso do JavaScript para executar suas tarefas;
- Considere o uso de um programa bloqueador de anúncios para bloquear determinados malwares ativados por anúncios pop-up. Juntamente com um bloqueador de anúncios, considere usar a extensão da Web NoScript, que permite que JavaScript e outros conteúdos potencialmente nocivos sejam executados apenas em sites confiáveis para reduzir a superfície de ataque disponível para os agentes;
- A implementação de feeds RPZ da Infoblox em firewalls pode interromper a conexão de atores no nível DNS, pois todos os componentes descritos neste relatório (sites comprometidos, domínios de redirecionamento intermediários, domínios DDGA e páginas de destino) requerem o protocolo DNS. O TIG detecta esses componentes diariamente e os adiciona aos feeds RPZ da Infoblox.
- Aproveitar o serviço Threat Insight da Infoblox, que executa análises de streaming em tempo real em consultas de DNS ao vivo, pode fornecer cobertura de alta segurança e proteção contra ameaças baseadas em DGA e DDGA.