Você já imaginou criminosos virtuais se passando por plataformas de folha de pagamento, RH e benefícios para roubar informações e fundos? Parece coisa de filme, mas infelizmente, é uma realidade assustadora e cada vez mais frequente.
Uma nova campanha de phishing está explorando essa vulnerabilidade, usando técnicas sofisticadas para enganar empresas e funcionários. Vamos desvendar os detalhes dessa ameaça e aprender como nos proteger.
Anúncios no Google como alvo da Deel
A investigação começou com um anúncio de busca fraudulento para a Deel, uma empresa de folha de pagamento e recursos humanos. Ao clicar no anúncio, funcionários e empregadores eram redirecionados para um site falso, imitando a página oficial da Deel.
Além de roubar nomes de usuário e senhas, contornando até mesmo a autenticação de dois fatores, o código malicioso tinha a capacidade de realizar ações ainda mais perigosas, sem o conhecimento da vítima.
Usando um serviço web legítimo, hospedado e conhecido, esse kit de phishing manipulava campos de dados sensíveis relacionados a informações bancárias e de pagamento. Isso mostra a criatividade e a capacidade de adaptação dos cibercriminosos.
Portal de Phishing e Autenticação de Dois Fatores
O site falso era uma réplica quase perfeita da página de login da Deel. A principal diferença era a desativação das opções de login com o Google e continuação com código QR, forçando o usuário a usar apenas nome de usuário e senha.
Após o login, as vítimas eram induzidas a inserir um código de segurança enviado por e-mail. Embora a autenticação de dois fatores seja uma ótima medida de segurança, ela se torna ineficaz quando o usuário acessa um site falso.
Análise de Tráfego
Para entender como o kit de phishing funciona, foi feita uma captura de rede que revelou diversos componentes interessantes. Bibliotecas JavaScript como pusher.min.js, Worker.js e kel.js foram identificadas.
O kit utilizava técnicas anti-depuração, dificultando a análise do código. Uma prática comum para esconder a intenção maliciosa e aumentar o tempo de análise.
Análise de Scripts
O arquivo pusher.min.js é uma biblioteca legítima, mas usada de forma maliciosa para comunicações em tempo real. Já os arquivos kel.js e Worker.js eram usados para autenticar a vítima no site real da Deel, enquanto um trabalhador web se comunicava com a infraestrutura do cibercriminoso.
WebSockets foram utilizados para a comunicação persistente entre o navegador do usuário e o servidor, permitindo o envio de dados em tempo real.
Alvos Adicionais
Este kit de phishing não se limitava à Deel. Outras empresas de folha de pagamento, RH, faturamento, soluções de pagamento e até mesmo a plataforma de comércio eletrônico Shopify foram alvos.
Isso demonstra a amplitude da ameaça e a versatilidade do kit de phishing usado pelos criminosos.
Conclusão
Esta campanha de phishing destaca a importância da cautela e do pensamento crítico na interação online. Empresas e usuários precisam estar atentos às ameaças e adotar medidas de segurança eficazes.
A sofisticação dos ataques exige vigilância constante e a colaboração entre usuários, empresas e autoridades para combater esses crimes cibernéticos.
Compartilhe suas experiências e dicas de segurança para ajudar outras pessoas a se protegerem!
