Uma campanha de phishing em grande escala baseada em typosquatting tem como alvo usuários de Windows e Android com malware, de acordo com uma empresa de inteligência de ameaças e um site de segurança cibernética.
A campanha atualmente em andamento usa mais de 200 domínios de typosquatting que personificam 27 marcas para enganar os internautas a baixar software malicioso em seus computadores e telefones, Computador apitando informou domingo.
empresa de inteligência de ameaças Cyble revelou a campanha na semana passada em um blog. Ele relatou que os sites de phishing enganam os visitantes para que baixem aplicativos Android falsos que se fazem passar por Google Wallet, PayPal e Snapchat, que contêm o Trojan bancário ERMAC.
A BleepingComputer explicou que, embora a Cyble tenha se concentrado no malware Android da campanha, uma operação muito maior voltada para o Windows está sendo implantada pelos mesmos agentes de ameaças. Essa campanha tem mais de 90 sites criados para enviar malware e roubar chaves de recuperação de criptomoeda.
Typosquatting é uma técnica antiga para redirecionar os viajantes do ciberespaço para sites maliciosos. Nesta campanha, explicou BleepingComputer, os domínios usados são muito próximos dos originais, com uma única letra trocada do domínio ou um “s” adicionado a ele.
Os sites de phishing também parecem autênticos, acrescentou. Eles são clones dos sites reais ou imitações suficientes para enganar um visitante casual.
Normalmente, as vítimas acabam nos sites cometendo um erro de digitação em um URL inserido na barra de endereço de um navegador, continuou, mas os URLs às vezes também são inseridos em e-mails, mensagens SMS e nas mídias sociais.
“Typosquatting não é novidade”, disse Sherrod DeGrippo, vice-presidente de pesquisa e detecção de ameaças da Ponto de provauma empresa de segurança corporativa em Sunnyvale, Califórnia.
“O Goggle.com estava enviando visitantes acidentais para um site malicioso com downloads de malware já em 2006”, disse DeGrippo ao TechNewsWorld.
Escala incomum
Embora a campanha use técnicas de phishing testadas e comprovadas, ela tem algumas características distintivas; especialistas em segurança disseram ao TechNewsWorld.
“O tamanho desta campanha é incomum, mesmo que a técnica seja antiquada”, observou Mike Parkin, engenheiro técnico sênior da Ciber Vulcanofornecedora de SaaS para correção de riscos cibernéticos corporativos, em Tel Aviv, Israel.
“Essa campanha em particular parece ser muito maior em escala do que as tentativas típicas de typosquatting”, acrescentou Jerrod Piker, analista de inteligência competitiva da instinto profundouma empresa de segurança cibernética de aprendizagem profunda na cidade de Nova York.
ANÚNCIO
Concentrar-se em aplicativos móveis é outro desvio da norma, observou Grayson Milbourne, diretor de inteligência de segurança da Soluções de segurança OpenTextuma empresa global de detecção e resposta a ameaças.
“O direcionamento de aplicativos móveis e sites associados com o objetivo de distribuir aplicativos Android maliciosos é algo que não é novo, mas não é tão comum quanto o typosquatting que visa sites de software Windows”, disse ele.
O que é interessante sobre a campanha é sua confiança nos erros de digitação cometidos pelos usuários e na entrega intencional de URLs maliciosos aos alvos, observou Hank Schless, gerente sênior de soluções de segurança da Olheum provedor de soluções de phishing móvel com sede em São Francisco.
“Esta parece ser uma campanha completa com [a] alta chance de sucesso se um indivíduo ou organização não tiver segurança adequada”, disse ele.
Por que Typosquatting funciona
Campanhas de phishing que exploram typosquatting não precisam ser inovadoras para serem bem-sucedidas, afirma Roger Grimes, evangelista de defesa da KnowBe4um provedor de treinamento de conscientização de segurança em Clearwater, Flórida.
“Todas as campanhas de typosquatting são bastante eficazes sem a necessidade de truques avançados ou novos”, disse ele ao TechNewsWorld. “E existem muitos truques avançados, como ataques homoglíficos, que adicionam outra camada que pode enganar até mesmo os especialistas.”
Homóglifos são caracteres que se assemelham, como a letra O e o zero (0), ou o I maiúsculo e a letra l minúscula (EL), que parecem idênticos em uma fonte sem serifa, como a Calibri.
“Mas você não encontra muitos desses ataques mais avançados por aí porque eles não precisam deles para serem bem-sucedidos”, continuou Grimes. “Por que trabalhar duro quando você pode trabalhar fácil?”
ANÚNCIO
Typosquatting funciona por causa da confiança, afirmou Abhay Bhargav, CEO da AppSecEngineerum provedor de treinamento de segurança em Cingapura.
“As pessoas estão tão acostumadas a ver e ler nomes conhecidos que acham que um site, aplicativo ou pacote de software com quase o mesmo nome e com o mesmo logotipo é igual ao produto original”, disse Bhargav ao TechNewsWorld.
“As pessoas não param para pensar nas pequenas discrepâncias ortográficas ou nas discrepâncias de domínio que distinguem o produto original do falso”, disse ele.
Alguns registradores de domínio são culpados
Piker explicou que é muito fácil “fazer o dedo gordo” ao digitar uma URL, então o PayPal se torna o PalPay.
“Receberia muitos acessos”, disse ele, “especialmente porque os ataques de typosquatting geralmente apresentam uma página da web que é essencialmente um clone do original”.
“Os invasores também capturam vários domínios semelhantes para garantir que muitos erros de digitação diferentes correspondam”, acrescentou.
Os atuais sistemas de registro de domínio também não ajudam, afirmou Grimes.
“O problema é agravado porque alguns serviços permitem que sites ruins obtenham certificados de domínio TLS/HTTPS, o que muitos usuários acreditam que significa que o site é seguro e protegido”, explicou ele. “Mais de 80% dos sites de malware possuem certificado digital. Isso zomba de todo o sistema de infraestrutura de chave pública”.
“Além disso”, continuou Grimes, “o sistema de nomeação de domínios da Internet está quebrado, permitindo que registradores de domínios da Internet obviamente desonestos fiquem ricos registrando domínios fáceis de ver que serão usados em algum tipo de ataque de direcionamento incorreto. Os incentivos de lucro, que recompensam os registradores por olharem para o outro lado, são uma grande parte do problema.”
Navegadores móveis mais suscetíveis
Fatores de forma de hardware também podem contribuir para o problema.
“O Typosquatting é muito mais eficaz em dispositivos móveis devido à forma como os sistemas operacionais móveis são criados para simplificar a experiência do usuário e minimizar a confusão na tela menor”, explicou Schless.
“Navegadores e aplicativos móveis encurtam URLs para melhorar a experiência do usuário, portanto, a vítima pode não conseguir ver o URL completo em primeiro lugar, muito menos detectar um erro de digitação nele”, continuou ele. “As pessoas geralmente não visualizam um URL no celular, algo que podem fazer em um computador passando o mouse sobre ele.”
ANÚNCIO
Typosquatting é definitivamente mais eficaz para phishing em telefones celulares porque os URLs não são totalmente visíveis, concorda Szilveszter Szebeni, CISO e cofundador da Tesourouma empresa de soluções de segurança baseada em criptografia de e-mail em Zurique.
“Para executar cavalos de Tróia, nem tanto, porque as pessoas geralmente usam o aplicativo ou as lojas de jogos”, disse ele ao TechNewsWorld.
Como se proteger contra Typosquatting
Para se protegerem de se tornarem vítimas de phishing typosquatting, Piker recomendou que os usuários nunca sigam links em mensagens SMS ou e-mails de remetentes desconhecidos.
Ele também aconselhou ter cuidado ao digitar URLs, especialmente em dispositivos móveis.
DeGrippo acrescentou: “Em caso de dúvida, um usuário pode pesquisar no Google o nome de domínio estabelecido diretamente, em vez de clicar em um link direto”.
Enquanto isso, Schless sugeriu que as pessoas confiassem um pouco menos em seus dispositivos móveis.
“Sabemos que devemos instalar soluções antimalware e antiphishing em nossos computadores, mas confiamos tanto nos dispositivos móveis que achamos que não é necessário fazer o mesmo em dispositivos iOS e Android”, disse ele.
“Esta campanha é um dos inúmeros exemplos de como os agentes de ameaças aproveitam essa confiança contra nós”, observou ele, “o que mostra por que é fundamental ter uma solução de segurança criada especificamente para ameaças móveis em seu smartphone e tablet”.
Fonte: www.technewsworld.com
