Kit de phishing usa PayPal para invadir sites do WordPress

Da Redação
14/07/2022

Um kit de phishing recém-descoberto que tem como alvo usuários do PayPal está tentando roubar um grande conjunto de informações pessoais das vítimas, incluindo documentos de identificação e fotos. Mais de 400 milhões de pessoas e empresas no mundo utilizam o PayPal como meio de pagamento online.

O kit está hospedado em sites baseados no WordPress legítimos que foram invadidos, o que permite evitar a detecção até certo ponto. Pesquisadores de segurança da empresa americana de serviços e performance de tráfego global na internet Akamai encontraram o kit de phishing depois que o operador da ameaça o implantou em seu honeypot do WordPress.

O kit tem como alvo sites mal protegidos e usa uma lista de pares de credenciais comuns encontradas online. Os operadores da ameaça usam esse acesso para instalar um plug-in de gerenciamento de arquivos que permite carregar o kit de phishing no site violado.

A Akamai descobriu que um método que o kit de phishing usa para evitar a detecção é fazer referência cruzada de endereços IP a domínios pertencentes a um conjunto específico de empresas, incluindo algumas organizações do setor de segurança cibernética. Os pesquisadores notaram que o desenvolvedor do kit de phishing fez um esforço para fazer a página fraudulenta parecer profissional e imitar o site original do PayPal o máximo possível.

Um aspecto observado pelos pesquisadores é que o operador da ameaça usa o htaccess para reescrever a URL para que ela não termine com a extensão do arquivo PHP. Isso contribui para uma aparência mais limpa e polida que confere legitimidade. Além disso, todos os elementos de interface gráfica nos formulários são estilizados de acordo com o tema do PayPal, para que as páginas de phishing tenham uma aparência aparentemente autêntica.

Processo de roubo de dados

O roubo de dados pessoais de uma vítima começa com a apresentação de um desafio Captcha, etapa que cria uma falsa sensação de legitimidade. Após esse estágio, a vítima é solicitada a fazer login em sua conta do PayPal usando seu endereço de e-mail e senha, que são entregues automaticamente ao agente da ameaça.

Isso não é tudo, no entanto. Sob o pretexto de “atividade incomum” associada à conta da vítima, o agente da ameaça solicita mais informações de verificação. Em uma página subsequente, a vítima é solicitada a fornecer uma série de detalhes pessoais e financeiros que incluem dados do cartão de pagamento junto com o código de verificação do cartão, endereço físico, número do seguro social, nome de solteira da mãe.

Parece que o kit de phishing foi construído para extrair todas as informações pessoais da vítima. Além dos dados do cartão normalmente coletados em golpes de phishing, este também exige o número do CPF, o nome de solteira da mãe e até mesmo o número PIN do cartão para transações em caixas eletrônicos.

Veja isso
Novo kit de phishing já disponível em fóruns de cibercrime
Phishing com voz cresceu 550% nos últimos 12 meses

A coleta de tantas informações não é típica de kits de phishing. No entanto, este vai ainda mais longe e pede que as vítimas vinculem sua conta de e-mail ao PayPal. Isso dá ao invasor um token que pode ser usado para acessar o conteúdo do endereço de e-mail fornecido.

Os cibercriminosos podem usar todas as informações para uma variedade de atividades ilegais, desde qualquer coisa relacionada a roubo de identidade até lavagem de dinheiro (por exemplo, criação de contas de negociação de criptomoedas, registro de empresas) e manutenção do anonimato ao comprar serviços para assumir contas bancárias ou clonar cartões de pagamento.

Embora o kit de phishing pareça sofisticado, os pesquisadores descobriram que seu recurso de upload de arquivos vem com uma vulnerabilidade que pode ser explorada para fazer upload de um shell da web e assumir o controle do site comprometido.

Dada a enorme quantidade de informações solicitadas, o golpe pode parecer óbvio para alguns usuários. No entanto, os pesquisadores da Akamai acreditam que esse elemento específico de engenharia social é o que torna o kit bem-sucedido. Eles explicam que a verificação de identidade é normal hoje em dia e isso pode ser feito de várias maneiras. “As pessoas julgam marcas e empresas por suas medidas de segurança hoje em dia”, dizem os pesquisadores.

Os usuários são aconselhados a verificar o nome de domínio de uma página solicitando informações confidenciais. Eles também podem acessar a página oficial do serviço, digitando-a manualmente no navegador, para verificar se a verificação de identidade está em ordem.

Compartilhar: