A atividade, observada pela primeira vez no in\u00edcio de outubro de 2024, foi atribu\u00edda com alta confian\u00e7a a um ator de amea\u00e7a chin\u00eas com motiva\u00e7\u00e3o financeira, codinome SilkSpecter. Algumas das marcas personificadas incluem IKEA, LLBean, North Face e Wayfare.<\/p>\n\n\n\n
Foi descoberto que os dom\u00ednios de phishing usam dom\u00ednios de n\u00edvel superior (TLDs) como .top, .shop, .store e .vip, frequentemente fazendo typosquatting de nomes de dom\u00ednio de organiza\u00e7\u00f5es leg\u00edtimas de com\u00e9rcio eletr\u00f4nico como uma forma de atrair v\u00edtimas (por exemplo, northfaceblackfriday[.]shop). Esses sites promovem descontos inexistentes, enquanto coletam furtivamente informa\u00e7\u00f5es dos visitantes.<\/p>\n\n\n\n
A flexibilidade e credibilidade do kit de phishing s\u00e3o aprimoradas usando um componente do Google Translate que modifica dinamicamente o idioma do site com base nos marcadores de geolocaliza\u00e7\u00e3o das v\u00edtimas. Ele tamb\u00e9m implanta rastreadores como OpenReplay, TikTok Pixel e Meta Pixel para manter o controle sobre a efic\u00e1cia dos ataques.<\/p>\n\n\n\n
O objetivo final da campanha \u00e9 capturar qualquer informa\u00e7\u00e3o financeira confidencial inserida pelos usu\u00e1rios como parte de pedidos falsos, com os invasores usando o Stripe para processar as transa\u00e7\u00f5es e dar a eles uma ilus\u00e3o de legitimidade, quando, na realidade, os dados do cart\u00e3o de cr\u00e9dito s\u00e3o exfiltrados para servidores sob seu controle.<\/p>\n\n\n\n
Al\u00e9m disso, as v\u00edtimas s\u00e3o solicitadas a fornecer seus n\u00fameros de telefone, uma a\u00e7\u00e3o provavelmente motivada pelos planos do agente de amea\u00e7as de conduzir ataques de smishing e vishing subsequentes para capturar detalhes adicionais, como c\u00f3digos de autentica\u00e7\u00e3o de dois fatores (2FA).<\/p>\n\n\n\n
“Ao se passar por entidades confi\u00e1veis, como institui\u00e7\u00f5es financeiras ou plataformas de com\u00e9rcio eletr\u00f4nico conhecidas, o SilkSpecter provavelmente poderia contornar barreiras de seguran\u00e7a, obter acesso n\u00e3o autorizado \u00e0s contas das v\u00edtimas e iniciar transa\u00e7\u00f5es fraudulentas”, disse a EclecticIQ.<\/p>\n\n\n\n
Atualmente, n\u00e3o est\u00e1 claro como essas URLs s\u00e3o disseminadas, mas suspeita-se que envolvam contas de m\u00eddia social e envenenamento de otimiza\u00e7\u00e3o de mecanismos de busca (SEO).<\/p>\n\n\n\n
As descobertas foram divulgadas semanas ap\u00f3s a equipe de Pesquisa e Intelig\u00eancia de Amea\u00e7as Satori da HUMAN detalhar outra opera\u00e7\u00e3o de fraude ampla e cont\u00ednua, chamada Phish ‘n’ Ships, que envolve lojas virtuais falsas que tamb\u00e9m abusam de provedores de pagamento digital como Mastercard e Visa para desviar dinheiro e informa\u00e7\u00f5es de cart\u00e3o de cr\u00e9dito dos consumidores.<\/p>\n\n\n\n Dizem que o esquema desonesto est\u00e1 ativo desde 2019, infectando mais de 1.000 sites leg\u00edtimos para configurar listas de produtos falsas e usar t\u00e1ticas de SEO de chap\u00e9u preto para aumentar artificialmente a classifica\u00e7\u00e3o do site nos resultados do mecanismo de busca. Os processadores de pagamento bloquearam as contas dos agentes da amea\u00e7a, restringindo sua capacidade de sacar.<\/p>\n\n\n\n “O processo de checkout ent\u00e3o passa por uma loja virtual diferente, que se integra a um dos quatro processadores de pagamento para concluir o checkout”, disse<\/a> a empresa . “E embora o dinheiro do consumidor v\u00e1 para o agente da amea\u00e7a, o item nunca chegar\u00e1.”<\/p>\n\n\n\n O uso de envenenamento de SEO para redirecionar usu\u00e1rios para p\u00e1ginas falsas de e-commerce \u00e9 um fen\u00f4meno generalizado. De acordo com a Trend Micro, tais ataques envolvem a instala\u00e7\u00e3o de malware de SEO em sites comprometidos, que s\u00e3o ent\u00e3o respons\u00e1veis \u200b\u200bpor garantir que as p\u00e1ginas apare\u00e7am no topo dos resultados de mecanismos de busca.<\/p>\n\n\n\n “Esses malwares de SEO s\u00e3o instalados em sites comprometidos para interceptar solicita\u00e7\u00f5es de servidores web e retornar conte\u00fados maliciosos”, observou<\/a> a empresa . “Ao fazer isso, os agentes de amea\u00e7as podem enviar um sitemap criado para mecanismos de busca e indexar p\u00e1ginas de isca geradas.”<\/p>\n\n\n\n “Isso contamina os resultados da pesquisa, fazendo com que as URLs de sites comprometidos apare\u00e7am em pesquisas por nomes de produtos que eles n\u00e3o manipulam de fato. Consequentemente, os usu\u00e1rios do mecanismo de busca s\u00e3o direcionados a visitar esses sites. O malware de SEO ent\u00e3o intercepta o manipulador de solicita\u00e7\u00e3o e redireciona o navegador do usu\u00e1rio para sites falsos de e-commerce.”<\/p>\n\n\n\n Al\u00e9m das fraudes relacionadas a compras, os usu\u00e1rios dos servi\u00e7os postais na regi\u00e3o dos B\u00e1lc\u00e3s se tornaram alvos de um golpe fracassado de entrega de pacotes que usa o Apple iMessage<\/a> para enviar mensagens alegando ser de ag\u00eancias postais estatais, instruindo os destinat\u00e1rios a clicar em um link para inserir informa\u00e7\u00f5es pessoais e financeiras para concluir a entrega.<\/p>\n\n\n\n![\"Sexta-feira](\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEh7zKGpR2p8i6OM6yaAAIWkB-jRRImHwTLQD-gXd8aitL8AxNnRFoTcduB758BdTxNVuj6g-quLfrMnJUTjhs85hjDWmwJbAFRtL27fhli4b1uSBVAH1w8IQ5YHvLj3wHsc9I9oNmBG5Zg2O-NIIDUF8F7299QHu7WI-BcHwOL2XW4DoWNPTdOS_b7gjHE9\/s728-rw-e365\/phishing.png\" "\\"Sexta-feira")
<\/a><\/figure>\n\n\n\n