A utilização de mensagens de SMS foi identificada como o principal mecanismo para obter informações pessoais e financeiras, mediante preenchimento de formulários falsos em sites fraudulentos, pelo mais recente Relatório Trimestral de Inteligência de Ameaças Cibernéticas da Infoblox, empresa especializada em gerenciamento e segurança de DNS de próxima geração.
Foram observadas ondas de ataques VexTrio, que utilizam vários sites criados no WordPress e sucessivamente infectam com malware ou spyware os visitantes de códigos de sites, através da execução de código Javascript.
Relatório da Infoblox sobre vulnerabilidades em sites WordPress
As principais conclusões deste informe, que cobre o período de abril a junho de 2022, consistem em:
Smishing, uma estratégia que combina SMS e phishing. Consiste no uso combinado de mensagens SMS e técnicas de phishing para acessar a informação privada das vítimas, incluindo senhas, identidade e informações financeiras. Esta técnica utiliza filtros de spam móvel, usando números de telefone de remetentes falsos, inclusive o número da própria vítima.
As mensagens incluem um incentivo para que o leitor clique em um link externo, que pode ser para um local que aloja malware ou uma página que pretende convencer o usuário a enviar dados para um formulário. Neste trimestre, foram observadas múltiplas campanhas de smishing, que tem como denominador comum redirecionar os usuários para URLs fraudulentas, seja através de links diretos ou de sucessivos redirecionamentos até acabar em um domínio fraudulento.
Para Sandro Tonholo, country manager da Infoblox no Brasil, esse tipo de golpe é cada vez mais comum. “Nas campanhas que analisamos, as mensagens contendo links maliciosos pareciam vir dos próprios destinatários. Os links levavam a páginas de pesquisas falsas, por meio das quais se pede às vítimas que preencham formulários com dados pessoais e informações de cartões de crédito. Os criminosos redirecionam as vítimas por uma série de domínios, para evitar a análise e a detecção da fraude”.
Sites Wordpress comprometidos com ataques VexTrio DDGA. VexTrio é um conjunto de instâncias criadoras de ciberataques que geram diversos domínios para realizar os ataques e distribuir adware, spyware e fórmulas fraudulentas da web. Os ciberatacantes do VexTrio utilizam intensamente a gestão de domínios e o protocolo DNS e aprovam os sites vulneráveis do WordPress como vetores de ataque para distribuir conteúdo fraudulento aos visitantes de sites web sem que sejam descobertos.
A sequência de ataque é a seguinte: primeiro são detectados sites web que mostram mais vulnerabilidades tipo XSS em plugins ou características do site criado em WordPress. Depois introduzem o código JavaScript malicioso neles. Quando as vítimas visitam os sites da web, são direcionados a uma página da web de destino que contém conteúdo fraudulento, através de um ou mais domínios de redirecionamento intermediários que também são controlados pelos cibercriminosos.
explica Tonholo.
Diminuição de sites fraudulentos relacionados à guerra na Ucrânia. Desde março, é possível observar que a quantidade deste tipo de domínio começou a diminuir e o número de novos registros se estabilizou. As tendências mais recentes, a partir de abril, mostraram que, em média, ainda há um grande número de registros suspeitos ou maliciosos, em comparação com o período anterior à invasão da Ucrânia.
Segundo o relatório, todas as campanhas identificadas foram utilizadas como vetor de ataque eletrônico. Muitos dos e-mails são distribuídos com instruções URL maliciosas que realizam múltiplos redirecionamentos de vítimas para outras páginas de destino fraudulentas. “Nesses casos, nossa recomendação é intensificar os controles de segurança sobre o correio eletrônico, HTTP e DNS e usar uma série de medidas”, reforça o executivo da Infoblox Brasil.
Confira algumas dicas do especialista
No caso dos ataques de smishing, é recomendado desconfiar das mensagens inesperadas de textos, especialmente aquelas que contêm correspondência financeira ou que pedem o preenchimento de documentos ou redirecionam para outros links. Nunca clique em URL de direção em mensagens de texto de fontes desconhecidas, especialmente quando a origem é o número do próprio destino.
Em relação aos ataques VexTrio, a recomendação é desabilitar o JavaScript por completo nos navegadores web ou habilitá-lo somente nos de sua confiança. Também podem ser usados adblocks como um complemento de script, que permitem executar o JavaScript sozinho com complementos que não são confiáveis para outros confiáveis. A implementação de fontes RPZ x nos firewalls pode determinar a conexão para os atores no nível do DNS.
Todos os componentes, como sites da web comprometidos, domínios de redirecionamento intermediários, domínios DDGA e páginas de destino, requerem o protocolo DNS. Por último, orienta-se para o uso de serviços que realizem a transmissão de análise em consultas DNS em tempo real, que podem fornecer cobertura de alta segurança e proteção contra ameaças que se baseiam tanto em DGA como em DDGA.