Sumário
Ao longo de 2022, o Netskope Threat Labs descobriu que atacantes têm criado páginas de phishing no Google Sites e no Microsoft Azure Web App para roubar carteiras e contas de criptomoedas da Coinbase, MetaMask, Kraken e Gemini.
Estas páginas de phishing são vinculadas às seções de comentários de outros sites, onde o atacante adiciona vários links às páginas de phishing, impulsionando o SEO e levando as vítimas diretamente a elas. O principal objetivo desta campanha é roubar contas de exchanges de criptomoedas ou frases de recuperação, o que permite que o atacante importe carteiras de criptomoedas existentes.
Neste blog post, analisaremos estas páginas de phishing para demonstrar como elas funcionam.
Como é que ela se espalha?
Descobrimos que a maioria dessas páginas de phishing está vinculada às seções de comentários de outros sites, em sua maioria blogs. O atacante adiciona links para um ou mais sites de phishing, onde a URL contém elementos para impulsionar o SEO.
Estes comentários são publicados por contas aleatórias, e às vezes há múltiplos links que levam a diferentes páginas de phishing.
Além disso, os atacantes estão usando estas técnicas de SEO para fazer as páginas de phishing aparecerem como o primeiro resultado em sites de busca, como o Google.
Como é que isso funciona?
A página principal é hospedada pelo Google Sites e imita o site de criptomoedas em questão. No exemplo abaixo, vamos demonstrar como funciona o phishing da MetaMask. A página de destino é muito semelhante ao verdadeiro site da MetaMask.
A página de phishing também contém um FAQ falso, como outra forma de para convencer as vítimas de que a página é real e para melhorar o SEO.