O novo kit de phishing LogoKit já foi encontrado em mais de 700 domínios exclusivos no mês passado.

Batizada de LogoKit , essa ferramenta de phishing já está implantada no ambiente, de acordo com a empresa de inteligência de ameaças RiskIQ, que acompanha sua evolução.

A empresa disse que já identificou instalações LogoKit em mais de 300 domínios na semana passada e mais de 700 sites no mês passado.

A empresa de segurança disse que o LogoKit depende do envio de links de phishing aos usuários que contêm seus endereços de e-mail.

"Assim que a vítima navega para a URL, o LogoKit busca o logotipo da empresa em um serviço de terceiros, como o Clearbit ou o banco de dados favicon do Google", disse o pesquisador de segurança da RiskIQ Adam Castleman em um relatório na quarta-feira.

“O e-mail da vítima também é preenchido automaticamente no campo de e-mail ou nome de usuário, fazendo com que as vítimas se sintam como se já tivessem se logado no site”, acrescentou.

"Se a vítima inserir sua senha, o LogoKit realiza uma solicitação AJAX, enviando o e-mail e a senha do alvo para uma fonte externa e, por fim, redirecionando o usuário para seu site corporativo [legítimo]."

imagem: RisklQ

Castleman disse que o LogoKit consegue isso apenas com um conjunto embutido de funções JavaScript "que podem ser adicionadas a qualquer formulário de login genérico ou documentos HTML complexos.

Isso é diferente dos kits de phishing padrão, a maioria dos quais precisa de modelos com pixels perfeitos que imitam as páginas de autenticação de uma empresa.

A modularidade do kit permite que os operadores do LogoKit visem qualquer empresa que desejem com muito pouco trabalho de personalização e montem dezenas ou centenas de ataques por semana contra um amplo conjunto de alvos.

A RiskIQ disse que, no mês passado, viu o LogoKit sendo usado para imitar e criar páginas de login para serviços que variam de portais de login genéricos a falsos portais do SharePoint, Adobe Document Cloud, OneDrive, Office 365 e várias trocas de criptomoedas.

Como o LogoKit é tão pequeno, o kit de phishing nem sempre precisa de sua própria configuração de servidor complexa, como alguns outros kits de phishing precisam. O kit pode ser hospedado em sites hackeados ou páginas legítimas para as empresas que os operadores do LogoKit desejam atingir.

Além disso, como o LogoKit é uma coleção de arquivos JavaScript, seus recursos também podem ser hospedados em serviços públicos confiáveis ​​como Firebase, GitHub, Oracle Cloud e outros, muitos dos quais serão colocados na lista de permissões em ambientes corporativos e acionarão pequenos alertas quando carregados no navegador.

A RiskIQ disse que está rastreando essa nova ameaça de perto devido à simplicidade do kit, que a empresa de segurança acredita que ajuda a aumentar suas chances de um phishing bem-sucedido.

Fonte: ZDNet