Els investigadors de ciberseguretat han descobert una nova campanya de pesca que aprofita els dibuixos de Google i els enllaços escurçats generats mitjançant WhatsApp per evitar la detecció i enganyar els usuaris perquè facin clic en enllaços falsos dissenyats per robar informació delicada.

Segons en Ashwin Vamshi, investigador de Menlo Security «Els atacants van triar un grup dels llocs web més coneguts en informàtica per crear l’amenaça, inclosos Google i WhatsApp i per allotjar els elements de l’atac, i un semblant d’Amazon per recollir la informació de la víctima”; i va afegir «Aquest atac és un gran exemple d’amenaça Living Off Trusted Sites (LOTS)».

El punt de partida de l’atac és un correu electrònic de pesca que dirigeix ​​els destinataris a un gràfic que sembla ser un enllaç de verificació del compte d’Amazon. Aquest gràfic, per la seva banda, està allotjat a Google Drawings, en un esforç aparent per eludir la detecció.

L’abús dels serveis legítims té avantatges evidents per als atacants, ja que no només són una solució de baix cost, sinó que, el que és més important, ofereixen una forma clandestina de comunicació dins de les xarxes, ja que és poc probable que siguin bloquejats per productes de seguretat o tallafocs.

«Una altra cosa que fa que Google Drawings sigui atractiu al començament de l’atac és que permet als usuaris (en aquest cas, l’atacant) incloure enllaços als seus gràfics», va dir Vamshi. «Aquests enllaços poden passar fàcilment desapercebuts pels usuaris, sobretot si tenen una sensació d’urgència davant d’una possible amenaça per al seu compte d’Amazon».

Els usuaris que acaben fent clic a l’enllaç de verificació es dirigeixen a una pàgina d’inici de sessió d’Amazon semblant, amb l’URL elaborat successivament mitjançant dos escurçadors d’URL diferents: WhatsApp (“l.wl[.]co”) seguit de qrco[.]de – – com a capa addicional d’ofuscament i d’enganyar els escàners d’URL de seguretat.

La pàgina falsa està dissenyada per recollir credencials, informació personal i detalls de la targeta de crèdit, després de la qual cosa les víctimes es redirigeixen a la pàgina d’inici de sessió d’Amazon de pesca. Com a pas addicional, la pàgina web es fa inaccessible des de la mateixa adreça IP un cop validades les credencials.

La divulgació arriba quan els investigadors han identificat una bretxa en els mecanismes antipesca de Microsoft 365 que es podria arribar a abusar per augmentar el risc que els usuaris obrin correus electrònics de pesca.

El mètode implica l’ús de trucs CSS per ocultar el ‘Consell de seguretat del primer contacte’, que alerta els usuaris quan reben correus electrònics d’una adreça desconeguda. Microsoft, que ha reconegut el problema, encara no ha publicat una solució.

«El consell de seguretat del primer contacte s’adjunta al cos d’un correu electrònic HTML, la qual cosa significa que és possible alterar la forma en què es mostra mitjançant l’ús d’etiquetes d’estil CSS», va dir Certitude, equip de ciberseguretat austríac. I va afegir «Podem fer un pas més enllà i falsificar les icones que Microsoft Outlook afegeix als correus electrònics que estan xifrats i/o signats».