Os cibercriminosos por trás dos ataques de phishing de retorno de chamada do BazaCall foram observados usando os Formulários Google para phishing e para dar ao esquema uma aparência de credibilidade. O método é uma “tentativa de elevar a autenticidade percebida dos e-mails maliciosos iniciais”, disse a empresa de segurança cibernética Abnormal Security em relatório publicado ontem.
O BazaCall
BazaCall (também conhecido como BazarCall), observado pela primeira vez em 2020, refere-se a uma série de ataques de phishing em que mensagens de e-mail que se fazem passar por avisos de assinatura legítimos são enviadas aos alvos, instando-os a entrar em contato com um balcão de suporte para contestar ou cancelar o plano, ou correm o risco de obter cobrado entre US$ 50 e US$ 500 (cerca de R$ 245,0 – 2.450,00).
Os cibercriminosos induzem uma falsa sensação de urgência, convencendo o alvo por meio de um telefonema a conceder-lhe recursos de acesso remoto usando software de desktop remoto e, por fim, estabelece persistência no host sob o pretexto de oferecer ajuda para cancelar a suposta assinatura. Alguns dos serviços populares representados incluem Netflix, Hulu, Disney+, Masterclass, McAfee, Norton e GeekSquad.
Na última variante de ataque detectada pela Abnormal Security, um formulário criado usando o Formulários Google é usado como um canal para compartilhar detalhes da suposta assinatura. Vale ressaltar que o formulário tem seu recibo de resposta habilitado, que envia uma cópia da resposta ao respondente do formulário por e-mail, para que o invasor envie um convite para preencher ele mesmo o formulário e receber as respostas.
De acordo com o pesquisador de segurança Mike Britton, “como o invasor habilitou a opção de recebimento de resposta, o alvo receberá uma cópia do formulário preenchido, que o invasor projetou para parecer uma confirmação de pagamento do software Norton Antivirus”.
Uso dos Formulários Google para phishing
O uso dos Formulários Google para phishing também é inteligente porque as respostas são enviadas do endereço “forms-recipts-noreply@google[.]com”, que é um domínio confiável e, portanto, tem maior chance de contornar gateways de e-mail seguros, conforme evidenciado por uma recente campanha de phishing do Formulários Google descoberta pela Cisco Talos no mês passado.
“Além disso, o Formulários Google costuma usar URLs gerados dinamicamente”, explicou Britton. “A natureza em constante mudança dessas URLs pode escapar das medidas de segurança tradicionais que utilizam análise estática e detecção baseada em assinaturas, que dependem de padrões conhecidos para identificar ameaças”.
Ator de ameaças visa recrutadores com backdoor More_eggs#
A divulgação chega no momento em que a Proofpoint revela uma nova campanha de phishing que tem como alvo os recrutadores com e-mails diretos que levam a um backdoor JavaScript conhecido como More_eggs. A empresa de segurança corporativa atribuiu a onda de ataque a um “ator de ameaças qualificado e motivado financeiramente” que ela rastreia como TA4557, que tem um histórico de abuso de serviços de mensagens legítimos e de oferta de empregos falsos por e-mail para, em última instância, entregar o backdoor More_eggs.
Especificamente na cadeia de ataque que usa a nova técnica de e-mail direto, uma vez que o destinatário responde ao e-mail inicial, o ator foi observado respondendo com um URL com um link para um site controlado pelo ator se passando por um currículo de candidato”.
Como alternativa, o ator foi observado respondendo com um anexo em PDF ou Word contendo instruções para visitar o site de currículo falso.
Proofpoint
O More_eggs é oferecido como malware como serviço e é usado por outros grupos cibercriminosos proeminentes, como Cobalt Group (também conhecido como Cobalt Gang), Evilnum e FIN6. Vale lembrar que, no início deste ano, a eSentire vinculou o malware a dois operadores de Montreal e Bucareste.
