Uma nova tática de phishing, utilizando o Google Accelerated Mobile Pages (AMP), atingiu o cenário de ameaças e provou ser muito bem-sucedida em atingir os alvos pretendidos. O Google AMP é uma estrutura HTML de código aberto usada para criar sites otimizados para navegador e uso móvel. Os sites observados nessas campanhas são hospedados em Google.com ou Google.co.uk, ambos considerados domínios confiáveis para a maioria dos usuários. Esta campanha de phishing não apenas emprega URLs do Google AMP para burlar a segurança, mas também incorpora várias outras táticas, técnicas e procedimentos (TTPs) conhecidos por serem bem-sucedidos em contornar a infraestrutura de segurança de e-mail.
A partir de maio de 2023, a Cofense detectou e-mails de phishing contendo URLs do Google AMP que levavam a sites hospedados no Google.com, permitindo que os invasores contornassem as defesas. A partir de 15 de junho, no entanto, os invasores passaram a usar o Google.co.uk. A maioria das páginas de phishing (77%) foi hospedada no Google.com.
O caminho do URL é um bom indicador para esta campanha de phishing, mas é difícil bloquear completamente “google.com/amp/s/” devido aos usos legítimos. É recomendável que as organizações discutam os usos legítimos desse caminho para seus usuários antes do bloqueio total. Embora bloquear o caminho possa ser difícil, pode ser uma boa oportunidade para sinalizar URLs com ele.
Atores de ameaças combinam a tática mais recente com outros TTPs testados e comprovados
As campanhas de phishing do Google AMP provaram atingir com sucesso seus alvos pretendidos. Provavelmente, isso se deve ao status confiável e à legitimidade dos domínios do Google em que cada URL está hospedada. Embora esse motivo possa ser suficiente, os agentes de ameaças que empregam essa nova tática também incorporaram os métodos testados e comprovados já conhecidos por contribuir para a evasão de um e-mail de phishing. Os seguintes TTPs foram observados em vários e-mails de phishing que usam URLs do Google AMP como links incorporados em e-mails de phishing:
Domínios confiáveis – A tática do Google AMP é eficaz devido à combinação de hospedagem de um URL em um domínio confiável, bem como o processo de redirecionamento que leva da URL do Google AMP ao site de phishing. Os domínios confiáveis dificultam a análise automatizada, pois você não pode simplesmente bloquear completamente as partes legítimas de uma URL maliciosa que abusa do processo.
E-mails de phishing baseados em imagens – Vários dos e-mails observados são e-mails de phishing baseados em imagens. Isso significa que os e-mails não contêm um corpo de e-mail tradicional, mas sim uma imagem HTML. E-mails dessa natureza são mais difíceis de detectar em comparação com e-mails baseados em texto. Isso ocorre porque a imagem adiciona mais ruído nos cabeçalhos do e-mail, além de ofuscar as soluções de segurança que envolvem a digitalização do texto do e-mail. O e-mail mostrado na Figura abaixo é um e-mail de phishing encontrado na caixa de entrada de um usuário que estava usando um Google AMP URL. A imagem inteira é clicável e direciona os usuários para a próxima etapa do ataque de phishing. As atrações por trás desses e-mails variam, mas são principalmente notificações por e-mail, solicitações, lembretes, arquivos compartilhados ou relacionados a finanças.
Redirecionamento de URL – o redirecionamento de URL tornou-se um método cada vez mais popular para interromper a análise de e-mail. Ter vários redirecionamentos em uma única cadeia de ataque de phishing, em vez de um único URL malicioso, pode dificultar a análise. O exemplo na Figura abaixo foi extraído da caixa de entrada de um usuário e é um bom exemplo de domínios confiáveis e redirecionamento de URL usados como um TTP em um e-mail de phishing. O redirecionamento não está apenas redirecionando para o domínio do Google AMP, mas também está hospedado em Microsoft.com, que é outro domínio confiável. Isso adiciona uma camada adicional de falsa legitimidade à campanha.
Cloudflare CAPTCHA – O abuso do serviço CAPTCHA da Cloudflare tornou-se uma tática anti-análise popular. Cloudflare é um serviço de segurança de domínio legítimo usado para manter os sites protegidos contra bots ou outros visitantes automatizados. Isso provou ser uma tática muito eficaz para burlar a segurança de e-mail porque os CAPTCHAs geralmente vêm antes de qualquer URL malicioso real. O uso de um CAPTCHA requer a presença de um usuário manual para acessar a URL maliciosa final no redirecionamento inicial ou na cadeia de infecção. Os serviços da Cloudflare também permitem o bloqueio de determinadas localizações geográficas por meio de filtragem de IP e serviços de proxy de IP que permitem que o agente da ameaça oculte o provedor de hospedagem original do domínio.
Para saber mais, clique aqui.
