Sumário
O Netskope Threat Labs está acompanhando o aumento de 17x no tráfego para páginas da web maliciosas hospedadas no DigitalOcean nos últimos seis meses. Esse aumento é atribuído a novas campanhas de um conhecido golpe e suporte técnico que imita o Windows Defender e tenta enganar os usuários, fazendo-os acreditar que seu computador está infectado. O objetivo final desse golpe é induzir as vítimas a ligar para uma falsa "linha de ajuda", onde os invasores podem tentar acessar remotamente o computador da vítima para instalar malware ou solicitar o pagamento de um serviço para corrigir a falsa infecção.
Além do golpe de suporte técnico, também houve um aumento nas páginas de phishing hospedadas no DigitalOcean, visando os clientes das instituições financeiras America First Credit Union, Huntington, e Truist, e uma página de phishing visando os usuários do IONOS Webmail.
Os ataques têm como alvo principalmente vítimas na América do Norte e na Europa em diferentes segmentos, liderados pelos setores de tecnologia, serviços financeiros e manufatura.
Os invasores estão criando aplicativos gratuitos no DigitalOcean para hospedar páginas de fraude e phishing. O abuso de serviços de nuvem gratuitos, especialmente serviços que fornecem hospedagem gratuita na Web ou hospedagem gratuita de objetos, é uma técnica comum usada por invasores para hospedar conteúdo mal-intencionado. Esta publicação do blog fornece um resumo da anatomia desses golpes e páginas de phishing, além de recomendações e informações sobre ameaças que você pode usar para proteger a si mesmo e a sua organização.
Golpe de suporte técnico
Como funciona
Esse golpe funciona imitando os alertas do Windows Defender, fazendo com que as vítimas acreditem que seus computadores estão infectados com malware. O objetivo desse ataque é convencer a vítima a ligar para o número de telefone do golpista. Os invasores podem tentar acessar remotamente o computador da vítima para instalar malware ou solicitar o pagamento de um serviço para corrigir a falsa infecção. Os invasores normalmente usam malvertising para redirecionar as vítimas para essas páginas fraudulentas.
Quando a vítima interage com a página da Web, a janela do navegador da Web é maximizada e um áudio começa a ser reproduzido com a seguinte mensagem:
"Mensagem de segurança importante.
Seu computador foi bloqueado.
Your IP address was used without your knowledge or consent to visit websites that contain identity theft virus.
Para desbloquear o computador, entre em contato com o suporte imediatamente.
Não tente desligar ou reiniciar seu computador. Fazer isso pode levar à perda de dados e ao roubo de identidade.
O bloqueio do computador tem o objetivo de impedir atividades ilegais.
Por favor, entre em contato com nosso suporte imediatamente."
Todas essas são tentativas de assustar as vítimas e forçá-las a ligar para o número de telefone do invasor. Todas as campanhas identificadas pelo Netskope Threat Labs usam "temas" diferentes, mas se baseiam na mesma técnica. Por exemplo, abaixo está um exemplo que mostra uma área de trabalho falsa do Windows em segundo plano e um bate-papo falso na Web, que eventualmente exibe uma mensagem dizendo que há um erro e pede que a vítima entre em contato com o número de telefone em vez do bate-papo.
Também encontramos páginas em diferentes idiomas, como o japonês, mostrando que essa é uma campanha multilíngue.
Como ele é distribuído no DigitalOcean?
O DigitalOcean permite que os usuários hospedem até três sites estáticos gratuitamente. Como o número de telefone exibido na página do golpe técnico é dinâmico e pode ser alterado por meio do parâmetro "phone" na URL, os invasores podem usar números de telefone diferentes na mesma instância do DigitalOcean, sem alterar nada no HTML ou nos scripts. Isso também significa que os invasores podem criar várias instâncias do DigitalOcean e replicar os mesmos arquivos HTML e de script, pois eles não exigem nenhuma alteração.
No exemplo abaixo, usamos números falsos para ilustrar como isso funciona.
Isso também pode ser confirmado com a verificação do VirusTotal. Por exemplo, uma das páginas que analisamos está relacionada a 87 domínios diferentes do DigitalOcean.
Embora o Netskope Threat Labs esteja rastreando invasores que usam o DigitalOcean nessas campanhas, também há relatos recentes de golpes semelhantes em que os invasores estão usando o Microsoft Azure para hospedar as páginas.
Páginas de phishing
O Netskope Threat Labs também está monitorando um aumento na atividade de phishing no DigitalOcean, focada principalmente no roubo de dados financeiros confidenciais, como números de cartões de crédito e débito.
America First Credit Union
Um dos alvos é o America First Credit Union, onde os invasores criaram uma página de phishing muito parecida com o site original. Embora a página seja muito semelhante, é possível distinguir facilmente qual é o site original verificando a URL.
Depois que a vítima adiciona as informações de login, os invasores tentam roubar mais informações pessoais, como o nome completo da vítima, a data de nascimento, o número do seguro social, o PIN da operadora e o endereço.
Depois de inserir todos os dados acima, a página solicita o número do cartão de débito da vítima, a data de validade, o CVV e o PIN do cartão.
Em seguida, a página de phishing tenta roubar o endereço de e-mail e a senha da vítima. Isso é feito simulando um login de terceiros após a inserção do endereço de e-mail na página de phishing. Os invasores tentam assumir o controle do e-mail da vítima para obter controle sobre a MFA da conta, se ativada. O acesso ao e-mail da vítima também permite que os invasores tentem redefinir as senhas e obter acesso a outras contas vinculadas ao mesmo endereço de e-mail.
Como uma tentativa extra de enganar a vítima, a página de phishing tenta simular a página de login de acordo com o endereço de e-mail fornecido pelo usuário. Por exemplo, se uma conta do Gmail for detectada, a página de phishing simulará a página de login do Google.
O mesmo acontece se um e-mail da Microsoft for detectado.
Se o e-mail fornecido pela vítima não for de um serviço conhecido, a página de phishing usará o mesmo layout que o usado para o Gmail, mas sem o logotipo do Google.
E, por fim, a vítima é redirecionada para o site legítimo.
Huntington National Bank
O segundo alvo é o Huntington National Bank, onde o fluxo de ataque é semelhante ao da página de phishing do America First.
Depois de roubar o nome do usuário e a senha, a página de phishing solicita o PIN único enviado à vítima, como uma tentativa de contornar a autenticação multifator.
Em seguida, o phishing tenta roubar o endereço de e-mail e a senha da vítima, usando a mesma técnica de phishing do America First.
Em seguida, a campanha de phishing tenta roubar informações, como o número do cartão de crédito, a data de validade, o CVV, o PIN e o número do seguro social ou a identificação fiscal.
Em seguida, todas as informações pessoais são solicitadas, incluindo nome completo, data de nascimento, número de telefone, PIN da operadora e endereço.
A página de phishing da Huntington vai ainda mais longe e solicita uma foto (frente e verso) do documento de identidade ou da carteira de motorista da vítima para continuar.
E, finalmente, a página de phishing redireciona o usuário para o site legítimo da Huntington depois de roubar todas as informações descritas acima.
Truist
Truist Financial também foi alvo dos invasores, com uma página de phishing que funciona exatamente como a página do caso da America First. Ela tenta roubar o login e a senha da Truist, as informações pessoais da vítima, os dados do cartão de crédito e também o e-mail e a senha da vítima.
IONOS Webmail
O webmail da IONOS é a única página de phishing das analisadas pelo Netskope Threat Labs e rastreadas no DigitalOcean que foca exclusivamente no comprometimento de e-mails sem visar também as credenciais de qualquer instituição financeira.
Conclusões
Os golpes de suporte técnico e phishing são um problema persistente, com os invasores buscando constantemente novas maneiras de atingir suas vítimas. Esse conjunto mais recente de golpes de suporte técnico e páginas de phishing é digno de nota devido ao abuso concentrado do DigitalOcean e ao sucesso em atingir suas vítimas, resultando em um aumento de 17 vezes no bloqueio de conteúdo malicioso hospedado na DigitalOcean na plataforma Netskope. O Netskope Threat Labs tem informado as URLs às instituições visadas e ao DigitalOcean à medida que são descobertos. mbora o DigitalOcean esteja prontamente retirando os sites do ar, os invasores têm respondido continuando a criar novos sites. O Netskope Threat Labs continuará rastreando e respondendo a esse conjunto de campanhas à medida que elas continuarem e evoluírem.
Recomendações
Os golpes e as páginas de phishing descritos nessa publicação são facilmente reconhecíveis pelas URLs, pois os invasores fazem pouco esforço para disfarçá-las. Os usuários podem evitar facilmente se tornarem vítimas dos tipos de ataques descritos nesta publicação simplesmente verificando a URL e certificando-se de que se trata do site legítimo. Os usuários devem acessar páginas importantes, como o portal do banco ou o webmail, digitando a URL diretamente no navegador da Web em vez de usar mecanismos de pesquisa ou outros links, pois os resultados podem ser manipulados por técnicas de SEO ou anúncios mal-intencionados. É altamente recomendável fechar imediatamente as páginas da Web que dizem que seu computador está infectado e também nunca ligar para o número que aparece na tela.
Por conseguinte, o Netskope Threat Labs recomenda que as organizações revisem suas políticas de segurança para garantir que estejam adequadamente protegidas contra essas páginas e golpes de phishing semelhantes:
- Inspecionar todo o tráfego HTTP e HTTPs, incluindo todo o tráfego da Web e da nuvem, para evitar que os usuários visitem sites mal-intencionados. Os clientes da Netskope podem configurar o Netskope NG-SWG com uma política de filtragem de URL para bloquear sites conhecidos de phishing e fraudes, e uma política de proteção contra ameaças para inspecionar todo o conteúdo da Web e identificar sites desconhecidos de phishing e fraudes usando uma combinação de assinaturas, inteligência contra ameaças e machine learning.
- Usar a tecnologia Remote Browser Isolation (RBI) para fornecer proteção adicional quando houver necessidade de visitar sites que se enquadram em categorias que podem apresentar maior risco, como domínios recém-observados e recém-registrados.
Proteção
O Netskope Threat Labs está monitorando ativamente esta campanha e garantiu cobertura para todos os indicadores de ameaças e cargas conhecidas.
- Proteção Contra Ameaças Netskope
- Document-HTML.Trojan.TechScam
- Document-HTML.Trojan.Cryxos
- A Netskope Advanced Protection oferece cobertura proativa contra essa ameaça.
- Gen.Malware.Detect.By.StHeur indica uma amostra que foi detectada usando análise estática
- Gen.Malware.Detect.By.Sandbox indica uma amostra que foi detectada por nosso sandbox na nuvem
IOCs
Abaixo estão os IOCs relacionados às páginas da Web analisadas neste blog.
Domínios
au-eacj4.ondigitalocean[.]app
clownfish-app-2-acvrg.ondigitalocean[.]app
clownfish-app-3gui7.ondigitalocean[.]app
coral-app-66eu3.ondigitalocean[.]app
coral-app-lql2j.ondigitalocean[.]app
coral-app-oheld.ondigitalocean[.]app
coral-app-yn7we.ondigitalocean[.]app
dolphin-app-cin9g.ondigitalocean[.]app
dolphin-app-gf3v9.ondigitalocean[.]app
dolphin-app-i9rjs.ondigitalocean[.]app
fwd-t7top.ondigitalocean[.]app
goldfish-app-8fmrx.ondigitalocean[.]app
goldfish-app-ede6s.ondigitalocean[.]app
goldfish-app-gmvba.ondigitalocean[.]app
goldfish-app-narvj.ondigitalocean[.]app
goldfish-app-xbbof.ondigitalocean[.]app
hammerhead-app-3icpw.ondigitalocean[.]app
hammerhead-app-6ajmd.ondigitalocean[.]app
hammerhead-app-6xlbp.ondigitalocean[.]app
hammerhead-app-juwp9.ondigitalocean[.]app
hammerhead-app-yqhlx.ondigitalocean[.]app
hunt445352464-y7bly.ondigitalocean[.]app
jellyfish-app-xotim.ondigitalocean[.]app
king-prawn-app-4fyti.ondigitalocean[.]app
king-prawn-app-8hzfo.ondigitalocean[.]app
king-prawn-app-bk8g5.ondigitalocean[.]app
king-prawn-app-s6uog.ondigitalocean[.]app
lionfish-app-9rfsh.ondigitalocean[.]app
lionfish-app-j9fnn.ondigitalocean[.]app
lionfish-app-sek9a.ondigitalocean[.]app
lionfish-app-uasdm.ondigitalocean[.]app
lobster-app-frzqt.ondigitalocean[.]app
lobster-app-or6ca.ondigitalocean[.]app
lobster-app-rcoyt.ondigitalocean[.]app
lobster-app-xkaxb.ondigitalocean[.]app
monkfish-app-29akh.ondigitalocean[.]app
monkfish-app-4e22q.ondigitalocean[.]app
monkfish-app-fkiac.ondigitalocean[.]app
monkfish-app-qjdhk.ondigitalocean[.]app
octopus-app-jxl9c.ondigitalocean[.]app
octopus-app-sl7mc.ondigitalocean[.]app
octopus-app-zvm5e.ondigitalocean[.]app
orca-app-2-3tyvd.ondigitalocean[.]app
orca-app-bxy2l.ondigitalocean[.]app
orca-app-ic4os.ondigitalocean[.]app
orca-app-njlq2.ondigitalocean[.]app
orca-app-nkxdn.ondigitalocean[.]app
oyster-app-2333f.ondigitalocean[.]app
oyster-app-865s6.ondigitalocean[.]app
oyster-app-8kk5m.ondigitalocean[.]app
oyster-app-ca5fh.ondigitalocean[.]app
oyster-app-fubtw.ondigitalocean[.]app
plankton-app-gshpo.ondigitalocean[.]app
sea-lion-app-2-pgi8v.ondigitalocean[.]app
sea-lion-app-9rbus.ondigitalocean[.]app
sea-lion-app-hvqyk.ondigitalocean[.]app
sea-lion-app-nwjq8.ondigitalocean[.]app
sea-lion-app-r4jk3.ondigitalocean[.]app
sea-lion-app-s68eg.ondigitalocean[.]app
sea-turtle-app-ohd6t.ondigitalocean[.]app
sea-turtle-app-w39rq.ondigitalocean[.]app
sea-turtle-app-wswat.ondigitalocean[.]app
sea-turtle-app-x2lyb.ondigitalocean[.]app
sea-turtle-app-z52sr.ondigitalocean[.]app
seahorse-app-7kqqk.ondigitalocean[.]app
seahorse-app-eutff.ondigitalocean[.]app
seahorse-app-gpmks.ondigitalocean[.]app
seahorse-app-yjvts.ondigitalocean[.]app
seal-app-3j9yh.ondigitalocean[.]app
seal-app-69ujp.ondigitalocean[.]app
seal-app-x97ny.ondigitalocean[.]app
seashell-app-fpxh9.ondigitalocean[.]app
seashell-app-ja7sl.ondigitalocean[.]app
seashell-app-xzpy9.ondigitalocean[.]app
shark-app-2ty5w.ondigitalocean[.]app
shark-app-qgt9i.ondigitalocean[.]app
squid-app-apvo6.ondigitalocean[.]app
squid-app-yd9gw.ondigitalocean[.]app
starfish-app-3otoz.ondigitalocean[.]app
starfish-app-9gbhh.ondigitalocean[.]app
starfish-app-cwjye.ondigitalocean[.]app
starfish-app-f94j3.ondigitalocean[.]app
starfish-app-gwo9e.ondigitalocean[.]app
starfish-app-jw7ri.ondigitalocean[.]app
starfish-app-l97z5.ondigitalocean[.]app
stingray-app-96edb.ondigitalocean[.]app
stingray-app-do3v9.ondigitalocean[.]app
stingray-app-se98o.ondigitalocean[.]app
urchin-app-5qitv.ondigitalocean[.]app
urchin-app-lq7wk.ondigitalocean[.]app
urchin-app-sgozg.ondigitalocean[.]app
v1and1-ionos-info-2hyeo.ondigitalocean[.]app
walrus-app-npj6k.ondigitalocean[.]app
walrus-app-tcdda.ondigitalocean[.]app
whale-app-298wp.ondigitalocean[.]app
whale-app-56tpr.ondigitalocean[.]app
whale-app-mqejr.ondigitalocean[.]app
whale-app-usrbm.ondigitalocean[.]app
Números de telefone observados nas páginas de golpes técnicos
+1-844-676-9966
+1-855-341-6126
+1-855-341-7111
+1-855-450-7009
+1-855-598-1009
+1-855-673-8111
+1-855-676-9050