Pesquisadores de segurança obtiveram um kit de phishing do PayPal na 16Shop e descobriram que também existe um modelo para o American Express
A rede de distribuição de kits de phishing da 16Shop expandiu seu portfólio com novos modelos direcionados aos usuários do PayPal e da American Express. Analisando variantes desses produtos entre novembro de 2018 e maio de 2019, pesquisadores de malware descobriram que eles se concentravam nas marcas Apple e Amazon, fornecendo páginas de login falsas para essas duas marcas.
A 16Shop é um produto comercial sofisticado que valida licenças em tempo real e vem com proteção em nível de código para fazer cópias. Ele pode bloquear rastreadores automatizados de fornecedores de segurança e indexadores da web para prolongar a vida útil da página de phishing.
No início de janeiro, os pesquisadores de segurança da ZeroFox Alpha obtiveram um kit de phishing do PayPal na 16Shop e descobriram que também existe um modelo para o American Express. Não há detalhes publicados sobre a página de golpes da Amex no momento, mas uma captura de tela do painel da 16Shop mostra que o lançamento está em um estágio anterior às outras opções.
Os pesquisadores notaram que o kit do PayPal está localizado para usuários em inglês, japonês, espanhol, alemão e tailandês. Isso é muito menor do que o modelo Apple mais desenvolvido, com suporte para dez idiomas, ou o kit para a Amazon.
Entre os dados roubados estão credenciais de login, detalhes do cartão (nome do proprietário, data de validade, nome do banco, número, código de segurança) e endereço de cobrança com detalhes de identificação pessoal.
A página de phishing da 16Shop no PayPal também coleta informações sobre o endereço IP, o ISP, o navegador e a geografia da vítima.
De acordo com a ZeroFox, as versões mais recentes da 16Shop para os kits Amazon, Apple e PayPal usam três mecanismos para se defender contra bots e atividade de indexação: lista negra, a biblioteca CrawlerDetect de código aberto e integração com o serviço antibot.
Após interceptar o tráfego entre o modelo de phishing do PayPal e o servidor de comando e controle (C&C) da 16Shop, o ZeroFox conseguiu acessar o painel de gerenciamento do kit. O painel é um sinal claro de que os profissionais estão por trás dele. Com elementos reativos, atualizações de dados em tempo real, estatísticas sobre cliques, informações coletadas e detecção de bots, o painel oferece uma experiência perfeita “para que os operadores de kits não tão técnicos possam implantar páginas de phishing sem precisar entender os protocolos subjacentes gerenciar essa infraestrutura”.
As habilidades do grupo que desenvolve o 16Shop também são visíveis nas proteções internas contra bots e piratas de software. No entanto, alguém descobriu uma maneira de quebrar o 16Shop e distribuiu uma versão backdoored no final de 2018.