Criação de conteúdo malicioso alojado no Squarespace

Criação de conteúdo malicioso alojado no Squarespace

Os cibercriminosos utilizam cada vez mais serviços legítimos para desencadear ataques.

A Check Point Software, líder global de soluções de cibersegurança, tem estado a seguir a próxima vaga de ataques de violação de correio eletrónico empresarial. Esta baseia-se na utilização de serviços legítimos para desencadear ataques. Não há nada de falso ou de falsificado nestes e-mails. São mensagens de correio eletrónico legítimas, enviadas de sites legítimos, que ligam ou incluem instruções maliciosas.

Isto significa que os piratas informáticos aproveitam os serviços que utilizamos diariamente e utilizam-nos como arma contra os utilizadores. E isto é feito sem que haja nada de inerentemente malicioso no correio eletrónico. Além disso, são ações nas quais os serviços de segurança e os utilizadores confiam.

Em suma, são utilizados sites legítimos para fins ilegítimos.

Neste Attack Brief, os investigadores do Check Point Harmony Email irão discutir como os hackers estão a criar landing pages maliciosas no Squarespace, que contornam o VirusTotal.

Os investigadores do Check Point Harmony Email contactaram o Squarespace a 8 de maio através da sua funcionalidade de denúncia de phishing para os informar sobre este ataque e investigação.

Ataque

Neste ataque, os piratas informáticos estão a criar contas Squarespace gratuitas e a tirar partido da legitimidade do seu domínio para criar páginas com phishing incorporado.

· Vetor: Correio eletrónico

· Tipo: BEC 3.0

· Técnicas: BEC, Engenharia Social

· Alvo: Qualquer utilizador final

Exemplo de email #1

Este e-mail começa de forma bastante inocente. É um PDF que, na verdade, é um link para um URL. Quando se clica no PDF, é-se redirecionado para uma página alojada no Squarespace. Não há nada intrinsecamente errado com este e-mail. É interessante o facto de ser enviado para destinatários cujos nomes não são revelados. No entanto, ao ler este e-mail, os utilizadores não teriam qualquer razão para pensar que algo está errado.

Os utilizadores são redirecionados para este site. Está alojado no Squarespace. Os piratas informáticos podem facilmente criar uma conta gratuita. Qualquer domínio gratuito tem o seguinte formato: username.squarespace.com. Este URL segue o mesmo caminho. Uma vez que o Squarespace é um site legítimo, este domínio específico passa nas verificações do VirusTotal.

Isso deve-se ao facto de o URL em si ser legítimo. O conteúdo do website é que é problemático. Os piratas informáticos criaram uma página que se parece com o OneDrive. Ao clicar no link, os utilizadores iniciam um download malicioso.

Técnicas

Os ataques BEC estão por todo o lado. A maioria das pessoas vê um parceiro ou um empregado comprometido a inserir-se numa linha de correio eletrónico e a alterar os dados de encaminhamento bancário. Estes ataques são difíceis de travar pelos serviços de segurança e de detetar pelos utilizadores. No entanto, a utilização de elementos como a PNL, a IA e o ML torna possível impedir estes ataques.

O BEC 3.0 representa um desafio totalmente diferente. Tudo no correio eletrónico é legítimo. Vem de um domínio legítimo. O texto parece ser normal, e o URL é legítimo. De um modo geral, o próprio correio eletrónico está limpo.

Mas as ações realizadas após o e-mail são maliciosas. É preciso olhar para além do conteúdo e mesmo do contexto do e-mail, como se faz no BEC 2.0, e é preciso reproduzir a página Web e as ações do utilizador. É necessário verificar tudo, e não apenas o correio eletrónico.

É por isso que a segurança do browser se torna tão importante. Uma boa segurança do navegador é um ótimo complemento para uma boa segurança do correio eletrónico. Porquê? Porque os utilizadores devem estar protegidos onde quer que vão, especialmente quando ataques inteligentes como este colocam o payload malicioso algumas camadas depois do e-mail. Os princípios de uma boa segurança do navegador incluem a inspeção de sites diretamente no navegador, analisando o aspeto visual, o texto, o domínio e outros indicadores de phishing, tanto conhecidos como desconhecidos. Além disso, é fundamental simular cada ficheiro descarregado para detetar malware, especialmente porque muitas destas ligações conduzem diretamente a downloads.

Estes ataques estão a aumentar, com milhares de variações do BEC 3.0 a serem dirigidas aos utilizadores finais nas últimas semanas.

A cibersegurança é o derradeiro jogo do gato e do rato. Os piratas informáticos descobrem uma técnica de ataque que funciona. Os serviços de segurança reagem e descobrem uma forma de o impedir. Os piratas informáticos descobrem um novo método. E assim por diante.

Neste momento, os piratas informáticos estão prestes a atingir o BEC 3.0.

Será que o seu sistema de segurança está preparado?

Melhores práticas: Orientações e recomendações

Para se protegerem contra estes ataques, os profissionais de segurança podem fazer o seguinte:

· Implementar uma segurança que analise todos os URLs e emular a página por trás destes

· Educar os utilizadores sobre esta nova variante de BEC