Una campagna di phishing diffusa è stata osservata sfruttando i documenti PDF fasulli ospitati sul Webflow Content material Supply Community (CDN) con l’obiettivo di rubare informazioni sulla carta di credito e commettere frodi finanziarie.
“L’attaccante si rivolge alle vittime della ricerca di documenti sui motori di ricerca, con conseguente accesso al PDF dannoso che contiene un’immagine captcha incorporata con un collegamento di phishing, portandole a fornire informazioni sensibili”, il ricercatore di Netskope minacce di laboratorio di minaccia Jan Michael Alcantara disse.
L’attività, in corso dalla seconda metà del 2024, comporta utenti che cercano titoli, documenti e grafici di libri su motori di ricerca come Google per reindirizzare gli utenti ai file PDF ospitati su Webflow CDN.
Questi file PDF sono incorporati con un’immagine che imita una sfida CAPTCHA, facendo sì che gli utenti che fanno clic su di essa vengano portati in una pagina di phishing che, questa volta, ospita un vero e proprio CloudFlare Captcha.
Nel fare ciò, gli aggressori mirano a prestare al processo un’impiallacciatura di legittimità, ingannando le vittime nel pensare di aver interagito con un controllo di sicurezza, sfuggendo anche al rilevamento da parte di scanner statici.
Gli utenti che completano la vera sfida Captcha vengono successivamente reindirizzati a una pagina che embody un pulsante “Obtain” per accedere al presunto documento. Tuttavia, quando le vittime tentano di completare il passo, viene inviato un messaggio pop-up che chiede loro di inserire i dettagli della carta personale e di credito.
“Entrando nei dettagli della carta di credito, l’attaccante invierà un messaggio di errore per indicare che non è stato accettato”, ha detto Michael Alcantara. “Se la vittima presenta i dettagli della carta di credito altre due o tre volte, verranno reindirizzate a una pagina di errore HTTP 500.”
Lo sviluppo arriva quando SlashNext ha dettagliato un nuovo package di phishing chiamato Astaroth (da non confondere con un malware bancario dell’omonimo nome) che è pubblicizzato su mercati telegrammi e criminali per $ 2.000 in cambio di sei mesi di aggiornamenti e tecniche di bypass.
Come il phishing-as-a-service (Phaas) Offerte, consente a Cyber Crooks la possibilità di raccogliere credenziali e codici di autenticazione a due fattori (2FA) tramite pagine di accesso fasullo che imitano i servizi on-line popolari.
“Astaroth utilizza un Malvagio-Type Reverse Proxy per intercettare e manipolare il traffico tra vittime e legittimi servizi di autenticazione come Gmail, Yahoo e Microsoft “, Daniel Kelley, ricercatore di sicurezza disse. “Agendo da uomo-in-the-middle, cattura credenziali di accesso, token e cookie di sessione in tempo reale, aggirando efficacemente 2FA.”
