Pesquisa da Infoblox Threat Intel lança luz sobre o uso de spoofing de domínios em campanhas de spam maliciosas

Freepik

Pesquisadores da Infoblox Threat Intel descobriram novos insights sobre o uso de domínios falsificados (spoofing, em inglês) em campanhas modernas de spam malicioso (malspam), que envolvem o envio de e-mails não solicitados contendo anexos ou links prejudiciais, projetados para infectar o computador do destinatário com malware ou roubar informações sensíveis. Isto revela como os agentes de ameaças exploram a falsificação de domínio e quão difundida é esta técnica. 

As informações foram coletadas por meio de um esforço coletivo após a pesquisa inicial do Muddling Meerkat, com vários indivíduos da comunidade de segurança compartilhando dados que demonstram o comportamento do Mudding Meerkat com os pesquisadores da Infoblox. Isso destaca a importância dos esforços colaborativos em cibersegurança, já que o compartilhamento de dados e conhecimentos pode levar a descobertas significativas e melhorias na detecção e mitigação de ameaças.

Principais descobertas:

• Falsificação de domínio em spam: Os hackers falsificam o endereço do remetente de um e-mail para fazê-lo parecer mais legítimo. Ao usar domínios antigos e negligenciados, eles podem escapar dos mecanismos de segurança que verificam a idade do domínio do remetente para identificar spam malicioso. O detalhe: embora existam vários mecanismos concebidos para proteger os usuários contra spam em geral e contra falsificação em particular, os investigadores descobriram que a falsificação ainda é amplamente utilizada.
• Campanhas de Phishing com QR Code: Essas campanhas têm como alvo residentes da Grande China, utilizando QR codes em anexos para direcionar as vítimas a sites de phishing. Além disso, aproveitam algoritmos de geração de domínios registrados (RDGAs, em inglês) para criar domínios de curta duração.
• Campanhas japonesas de Phishing: Visando usuários japoneses, essas campanhas se fazem passar por marcas populares como Amazon e SMBC (um dos maiores bancos do Japão) para roubar credenciais de login. Os invasores usam sistemas de distribuição de tráfego (TDS) para redirecionar as vítimas que atendem aos critérios corretos para páginas de login falsas e evitar a detecção por empresas de segurança.
• Campanhas de extorsão: Essas campanhas alegam que o dispositivo do destinatário foi comprometido e exigem pagamento em Bitcoin para evitar a divulgação de informações constrangedoras. A falsificação aqui tem uma diferença: os invasores falsificam o endereço de e-mail do destinatário para parecerem mais convincentes.

“Embora os mecanismos de segurança tenham evoluído, a persistência de técnicas como a falsificação de domínios e o uso de campanhas de phishing com QR codes, por exemplo, demonstram a necessidade constante de inovação na cibersegurança. Nesse sentido, a colaboração entre especialistas e a troca de informações são essenciais para fortalecer nossa proteção contra essas ameaças cada vez mais sofisticadas. É exatamente nesse cenário que a Infoblox se posiciona, atenta às tendências emergentes de ataques, com o compromisso de antecipar riscos e fornecer as soluções de segurança mais robustas e eficazes para proteger nossos clientes”, destaca o Territory Manager da Infoblox no Brasil, Sandro Tonholo.

Se você gosta de mistérios, ainda resta um após a pesquisa: uma intrigante campanha de spam supostamente de "Shanghai Yakai", o nome de uma empresa de frete chinesa, que envia anexos de Excel aparentemente inofensivos, sem nenhum propósito claro. Apesar das aparições frequentes, estes e-mails não contém qualquer apelo à ação, deixando-nos a pensar sobre o verdadeiro motivo desta operação enigmática. Qual poderia ser a razão para um esforço tão elaborado, mas aparentemente inútil?

Para mais informações, acesse o material completo no link.

Notícia distribuída pela saladanoticia.com.br. A Plataforma e Veículo não são responsáveis pelo conteúdo publicado, estes são assumidos pelo Autor(a):
PAMELLA BARBARA CAVALCANTI E SILVA
[email protected]