Table of Contents
Phishing: 5 Fatos Sobre o Novo Kit Xiū gǒu que Ameaça Vários Países
Pesquisadores em cibersegurança revelaram um novo kit de phishing utilizado em campanhas direcionadas a vários países, incluindo Austrália, Japão, Espanha, Reino Unido e EUA desde setembro de 2024.
O kit, denominado Xiū gǒu, resultou em mais de 2.000 sites de phishing identificados. Esse kit está sendo utilizado em ataques direcionados a setores como serviços públicos, correios, serviços digitais e serviços bancários.
Conforme reportado pela Netcraft, os criminosos que utilizam este kit fazem uso das funcionalidades de anti-bot e ofuscação de hospedagem da Cloudflare, dificultando sua detecção.
Detalhes sobre o kit foram documentados pelos pesquisadores Will Thomas e Fox_threatintel em setembro de 2024. Eles destacaram como o Xiu gǒu representa um grande risco.
Este kit de phishing facilita a entrada de hackers menos habilidosos, contribuindo para um aumento nas campanhas fraudulentas e o roubo de informações sensíveis.
Desenvolvido por um ator de ameaça de língua chinesa, o Xiu gǒu é construído com Golang e Vue.js. Ele exfiltra credenciais e informações das páginas falsas através de Telegram, o que agrava a situação.
Os ataques são disseminados via mensagens de Serviços de Comunicações Ricas (RCS), que alertam sobre multas de estacionamento e erros na entrega de pacotes. Os usuários são levados a clicar em links encurtados para pagar multas ou atualizar endereços.
Essas mensagens se aproveitam da urgência, manipulando as vítimas a fornecerem dados pessoais para efetuar pagamentos.
RCS, disponível principalmente via Apple Messages e Google Messages, oferece uma experiência aprimorada com recursos como compartilhamento de arquivos e suporte para criptografia opcional.
No final do mês passado, a Google anunciou novas proteções no aplicativo Messages para combate a fraudes, incluindo detecção de mensagens fraudulentas relacionadas a entregas e oportunidades de trabalho.
A Google também está implementando avisos de segurança para usuários na Índia, Tailândia, Malásia e Cingapura, bloqueando mensagens com links suspeitos.
Além disso, haverá uma funcionalidade que oculta mensagens de remetentes internacionais desconhecidos, movendo-as para uma pasta de spam.
Recentemente, a Cisco Talos revelou que usuários de contas comerciais do Facebook em Taiwan estão sendo alvo de uma ameaça desconhecida, visando entregas de malware tipo stealer, como Lumma ou Rhadamanthys.
As mensagens enganosas contêm links que direcionam as vítimas a domínios Dropbox ou Google Appspot, resultando na instalação do malware.
As campanhas de phishing seguem se espalhando, com tentativas fraudulentas se passando pela OpenAI, solicitando atualizações de informações de pagamento através de links ofuscados.
Esses e-mails são enviados em massa, enganando usuários com hyperlinks que evitam a detecção, e frequentemente passam nas verificações de segurança.
Técnicas de Ofuscação e Anti-Bot do Kit de Phishing Xiū gǒu
O kit de phishing Xiū gǒu emprega diversas técnicas avançadas de ofuscação e anti-bot para evadir a detecção por ferramentas de segurança. Abaixo estão algumas das principais abordagens utilizadas:
- Uso de Cloudflare’s Anti-Bot e Hosting Obfuscation: Os atores ameaçadores utilizam capacidades anti-bot e de obfuscação de hosting da Cloudflare. Essas ferramentas ajudam a ocultar atividades maliciosas, protegendo os sites de phishing contra bots de segurança.
- Domínios com TLDs Específicos: Os atacantes registram domínios com a extensão de topo-level domain (TLD) “.top”, escolhendo nomes relacionados aos tipos de golpes – como “parking” ou “living”. Isso diminui a percepção de suspeição e dificulta a detecção.
- Rich Communications Services (RCS): Em vez de SMS, os atacantes utilizam RCS para enviar lures de phishing. Essa abordagem permite uma experiência de mensagens mais interativa, aumentando a probabilidade de engano ao incluir recursos como compartilhamento de arquivos e indicadores de digitação.
- Redirecionamento de Bots: Para evitar detecção, bots são redirecionados a sites não maliciosos, enquanto usuários legítimos são levados aos sites de phishing. Isso mantém a atividade oculta das ferramentas de detecção automática.
- Integração com Telegram Bots: Informações roubadas são exfiltradas via bots do Telegram, permitindo que atacantes mantenham acesso a dados mesmo se sites de phishing forem desativados. Isso possibilita uma gestão eficiente das informações furtadas.
- Tecnologias Avançadas: O kit Xiū gǒu utiliza Vue.js para o frontend das páginas de phishing e do painel de administração, e Golang no backend através do executável SynPhishServer. Essa combinação torna a infraestrutura mais ativa e dificulta a detecção.
Essas técnicas combinadas permitem que o kit Xiū gǒu opere de forma eficaz e mantenha-se fora do alcance das ferramentas de segurança por um período prolongado.
Tecnologias Utilizadas
Frontend e Backend
- O kit Xiū gǒu utiliza Vue.js para o frontend. Isso proporciona uma interface interativa e dinâmica tanto nas páginas de phishing quanto no painel de administração.
- O backend é baseado em Golang, através do executável SynPhishServer, tornando a infraestrutura de phishing mais ativa e desafiadora para a detecção.
Técnicas de Ofuscação e Anti-Bot
- Uso de Cloudflare: Os atacantes adotam os serviços anti-bot e de ofuscação da Cloudflare para evitar a detecção, ocultando assim atividades maliciosas.
- Domínios Obfuscados: Eles registram domínios na extensão .top, com nomes que remetem aos tipos de golpes. Isso dificulta a identificação dos sites de phishing.
- Rich Communication Services (RCS): Em vez de SMS, eles empregam mensagens RCS para enviar iscas. Essas mensagens contêm links encurtados que dirigem as vítimas a sites de phishing que imitam serviços legítimos.
- Bots de Telegram: O kit inclui bots de Telegram para exfiltrar dados, garantindo acesso contínuo às informações roubadas, mesmo se os sites de phishing forem desativados.
- Easter Eggs e Mascote Interativo: O kit tem um mascote interativo, um “doggo”, que pode ser transformado ao clicar. Isso adiciona um elemento de diversão, tornando-o visualmente atraente.
Essas tecnologias e técnicas tornaram o kit Xiū gǒu altamente eficaz em evadir soluções de segurança e em enganar as vítimas. A crescente sofisticação apresentada representa um desafio significativo para a comunidade de cibersegurança.
#phishing #cibersegurança #kitXiugou #segurança #ataquesDirecionados #alegon