Pesquisadores da Infoblox Threat Intel descobriram novos insights sobre o uso de domínios falsificados (spoofing, em inglês) em campanhas modernas de spam malicioso (malspam), que envolvem o envio de e-mails não solicitados contendo anexos ou links prejudiciais, projetados para infectar o computador do destinatário com malware ou roubar informações sensíveis. Isto revela como os agentes de ameaças exploram a falsificação de domínio e quão difundida é esta técnica.
As informações foram coletadas por meio de um esforço coletivo após a pesquisa inicial do Muddling Meerkat, com vários indivíduos da comunidade de segurança compartilhando dados que demonstram o comportamento do Mudding Meerkat com os pesquisadores da Infoblox. Isso destaca a importância dos esforços colaborativos em cibersegurança, já que o compartilhamento de dados e conhecimentos pode levar a descobertas significativas e melhorias na detecção e mitigação de ameaças.
Falsificação de domínio em spam
Os hackers falsificam o endereço do remetente de um e-mail para fazê-lo parecer mais legítimo. Ao usar domínios antigos e negligenciados, eles podem escapar dos mecanismos de segurança que verificam a idade do domínio do remetente para identificar spam malicioso. O detalhe: embora existam vários mecanismos concebidos para proteger os usuários contra spam em geral e contra falsificação em particular, os investigadores descobriram que a falsificação ainda é amplamente utilizada.
Campanhas de Phishing com QR Code
Essas campanhas têm como alvo residentes da Grande China, utilizando QR codes em anexos para direcionar as vítimas a sites de phishing. Além disso, aproveitam algoritmos de geração de domínios registrados (RDGAs, em inglês) para criar domínios de curta duração.
Campanhas japonesas de Phishing
Visando usuários japoneses, essas campanhas se fazem passar por marcas populares como Amazon e SMBC (um dos maiores bancos do Japão) para roubar credenciais de login. Os invasores usam sistemas de distribuição de tráfego (TDS) para redirecionar as vítimas que atendem aos critérios corretos para páginas de login falsas e evitar a detecção por empresas de segurança.
Campanhas de extorsão
Essas campanhas alegam que o dispositivo do destinatário foi comprometido e exigem pagamento em Bitcoin para evitar a divulgação de informações constrangedoras. A falsificação aqui tem uma diferença: os invasores falsificam o endereço de e-mail do destinatário para parecerem mais convincentes.
“Embora os mecanismos de segurança tenham evoluído, a persistência de técnicas como a falsificação de domínios e o uso de campanhas de phishing com QR codes, por exemplo, demonstram a necessidade constante de inovação na cibersegurança. Nesse sentido, a colaboração entre especialistas e a troca de informações são essenciais para fortalecer nossa proteção contra essas ameaças cada vez mais sofisticadas. É exatamente nesse cenário que a Infoblox se posiciona, atenta às tendências emergentes de ataques, com o compromisso de antecipar riscos e fornecer as soluções de segurança mais robustas e eficazes para proteger nossos clientes”, destaca o Territory Manager da Infoblox no Brasil, Sandro Tonholo.
