Notícias
O novo kit de phishing LogoKit já foi encontrado em mais de 700 domínios exclusivos no mês passado.
Batizada de LogoKit , essa ferramenta de phishing já está implantada no ambiente, de acordo com a empresa de inteligência de ameaças RiskIQ, que acompanha sua evolução.
A empresa disse que já identificou instalações LogoKit em mais de 300 domínios na semana passada e mais de 700 sites no mês passado.
A empresa de segurança disse que o LogoKit depende do envio de links de phishing aos usuários que contêm seus endereços de e-mail.
"Assim que a vítima navega para a URL, o LogoKit busca o logotipo da empresa em um serviço de terceiros, como o Clearbit ou o banco de dados favicon do Google", disse o pesquisador de segurança da RiskIQ Adam Castleman em um relatório na quarta-feira.
“O e-mail da vítima também é preenchido automaticamente no campo de e-mail ou nome de usuário, fazendo com que as vítimas se sintam como se já tivessem se logado no site”, acrescentou.
"Se a vítima inserir sua senha, o LogoKit realiza uma solicitação AJAX, enviando o e-mail e a senha do alvo para uma fonte externa e, por fim, redirecionando o usuário para seu site corporativo [legítimo]."
imagem: RisklQ
Castleman disse que o LogoKit consegue isso apenas com um conjunto embutido de funções JavaScript "que podem ser adicionadas a qualquer formulário de login genérico ou documentos HTML complexos.
Isso é diferente dos kits de phishing padrão, a maioria dos quais precisa de modelos com pixels perfeitos que imitam as páginas de autenticação de uma empresa.
A modularidade do kit permite que os operadores do LogoKit visem qualquer empresa que desejem com muito pouco trabalho de personalização e montem dezenas ou centenas de ataques por semana contra um amplo conjunto de alvos.
A RiskIQ disse que, no mês passado, viu o LogoKit sendo usado para imitar e criar páginas de login para serviços que variam de portais de login genéricos a falsos portais do SharePoint, Adobe Document Cloud, OneDrive, Office 365 e várias trocas de criptomoedas.
Como o LogoKit é tão pequeno, o kit de phishing nem sempre precisa de sua própria configuração de servidor complexa, como alguns outros kits de phishing precisam. O kit pode ser hospedado em sites hackeados ou páginas legítimas para as empresas que os operadores do LogoKit desejam atingir.
Além disso, como o LogoKit é uma coleção de arquivos JavaScript, seus recursos também podem ser hospedados em serviços públicos confiáveis como Firebase, GitHub, Oracle Cloud e outros, muitos dos quais serão colocados na lista de permissões em ambientes corporativos e acionarão pequenos alertas quando carregados no navegador.
A RiskIQ disse que está rastreando essa nova ameaça de perto devido à simplicidade do kit, que a empresa de segurança acredita que ajuda a aumentar suas chances de um phishing bem-sucedido.
Fonte: ZDNet