Pesquisadores da Infoblox Threat Intel descobriram novos insights sobre o uso de domínios falsificados (spoofing, em inglês) em campanhas modernas de spam malicioso (malspam). Elas envolvem o envio de e-mails não solicitados contendo anexos ou links prejudiciais, projetados para infectar o computador do destinatário com malware ou roubar informações sensíveis. Isto revela como os agentes de ameaças exploram a falsificação de domínio e quão difundida é esta técnica.
CONTEÚDO RELACIONADO: Os riscos de ataques cibernéticos ao setor industrial e o impacto à população
As informações foram coletadas por meio de um esforço coletivo após a pesquisa inicial do Muddling Meerkat, com vários indivíduos da comunidade de segurança compartilhando dados que demonstram o comportamento do Mudding Meerkat com os pesquisadores da Infoblox. Entre os destaques, estão a falsificação de domínio em spam.
Os hackers falsificam o endereço do remetente de um e-mail para fazê-lo parecer mais legítimo. Ao usar domínios antigos e negligenciados, eles podem escapar dos mecanismos de segurança que verificam a idade do domínio do remetente para identificar spam malicioso. O detalhe: embora existam vários mecanismos concebidos para proteger os usuários contra spam em geral e contra falsificação em particular, os investigadores descobriram que a falsificação ainda é amplamente utilizada.
Pesquisadores encontraram mais campanhas maliciosas
Outros destaques:
- Campanhas de Phishing com QR Code: Essas campanhas têm como alvo residentes da Grande China, utilizando QR codes em anexos para direcionar as vítimas a sites de phishing. Além disso, aproveitam algoritmos de geração de domínios registrados (RDGAs, em inglês) para criar domínios de curta duração.
- Campanhas japonesas de Phishing: Visando usuários japoneses, essas campanhas se fazem passar por marcas populares como Amazon e SMBC (um dos maiores bancos do Japão) para roubar credenciais de login. Os invasores usam sistemas de distribuição de tráfego (TDS) para redirecionar as vítimas que atendem aos critérios corretos para páginas de login falsas e evitar a detecção por empresas de segurança.
- Campanhas de extorsão: Essas campanhas alegam que o dispositivo do destinatário foi comprometido e exigem pagamento em Bitcoin para evitar a divulgação de informações constrangedoras. A falsificação aqui tem uma diferença: os invasores falsificam o endereço de e-mail do destinatário para parecerem mais convincentes.
Ainda é preciso mais trabalho
Embora os mecanismos de segurança tenham evoluído, a Infoblox diz que a persistência de técnicas como a falsificação de domínios e o uso de campanhas de phishing com QR codes, por exemplo, demonstram a necessidade constante de inovação na cibersegurança. Nesse sentido, a colaboração entre especialistas e a troca de informações são essenciais para fortalecer a proteção contra essas ameaças cada vez mais sofisticadas.
Participe das comunidades IPNews no Instagram, Facebook, LinkedIn e X
