Uma nova campanha de phishing direcionada aos logins da Amazon Web Services (AWS) está usando dos anúncios do Google para inserir sites de phishing na busca do Google para roubar credenciais de login. A campanha foi descoberta pelo Sentinel Labs, cujos analistas observaram os resultados de buscas maliciosos no dia 30 de janeiro passado. Os anúncios ruins ficaram em segundo lugar na busca por “AWS”, logo atrás do próprio resultado de pesquisa promovido pela Amazon.
Inicialmente, os operadores de ameaças vincularam o anúncio diretamente à página de phishing. No entanto, em uma fase posterior, eles adicionaram uma etapa de redirecionamento, provavelmente para evitar a detecção pelos sistemas de detecção de fraude de anúncios do Google.
Os anúncios maliciosos do Google levam a vítima a um site de blogger (us1-eat-a-w-s.blogspot[.]com) sob o controle dos invasores, que é uma cópia de um blog legítimo de comida vegana. O site usa “window.location.replace” para redirecionar automaticamente a vítima para um novo site que hospeda a página falsa de login da AWS, feita para parecer autêntica.
A vítima é solicitada a selecionar se é um usuário root (com de administrador do sistema) ou gerenciador de identidades e acessos (IAM) e, em seguida, inserir seu endereço de e-mail e senha. Essa opção ajuda os operadores de ameaças a categorizar os dados roubados em duas categorias de valor e utilidade.
Os domínios de phishing vistos pelo Sentinel Labs são: aws1-console-login[.]us; aws2-console-login[.]xyz; aws1-ec2-console[.]com; aws1-us-west[.]info.
Uma característica interessante das páginas de phishing é que seu autor incluiu uma função JavaScript para desabilitar cliques com o botão direito do mouse, botões do meio do mouse ou atalhos de teclado. O Sentinel Labs diz que esse provavelmente é um mecanismo para impedir que os usuários saiam da página, propositalmente ou por engano.
A empresa de segurança relata ter visto o português usado como idioma nos comentários e variáveis do código JavaScript, enquanto a página raiz do domínio do blogueiro imita uma empresa brasileira de sobremesas. Por fim, os dados Whois usados para registrar os domínios apontam para uma pessoa brasileira.
Veja isso
Ataque ao PHP e Python para roubo de credenciais AWS
Agente de acesso usa anúncios do Google para instalar ransomware
O Sentinel Labs relatou a exploração do CloudFlare, que protegia os sites de phishing, e a empresa de internet rapidamente desligou a conta. No entanto, os anúncios maliciosos do Google permanecem, mesmo que os sites aos quais eles se vinculam não estejam mais online.
Ultimamente, os anúncios do Google têm sido utilizados maciçamente por cibercriminosos de todos os tipos, servindo como um método alternativo para alcançar vítimas em potencial. Esses anúncios têm sido usados recentemente para contas de gerenciador de senhas de phishing, alcançando o comprometimento inicial da rede para implantação de ransomware e distribuição de malware mascarando ferramentas de software legítimas.
Na semana passada, o Sentinel Labs descobriu uma campanha que usa a tecnologia de virtualização junto com o Google Ads para espalhar malware que dificulta a detecção por ferramentas antivírus.