Cuidado! Os Ataques de Phishing ficam Mais Inteligentes com a Validação de E-Mail em Tempo Real
Os cibercriminosos estão elevando o nível com uma nova abordagem perturbadora para o roubo de credenciais, usando a validação de e-mails em tempo real para tornar os ataques de phishing mais eficientes e difíceis de detectar. Pesquisadores da Cofense identificaram essa tática em evolução e a apelidaram de "phishing de validação de precisão" — um método que reduz a lista de alvos a apenas os endereços de e-mail confirmados como ativos e valiosos.
Ao contrário das campanhas tradicionais de phishing, que lançam uma rede ampla e esperam obter algumas vítimas, esta nova abordagem é precisa e deliberada. Em vez de enviar páginas de login fraudulentas para usuários aleatórios, os invasores primeiro verificam se o endereço de e-mail inserido em uma página de phishing existe em seu banco de dados de alvos pré-coletados. Se a informação for verdadeira, a vítima recebe uma tela de login falsa, projetada para roubar credenciais. Caso contrário, ela é redirecionada para um site inofensivo como a Wikipédia, o que ajuda o site de phishing a evitar a detecção por scanners de segurança automatizados.
Essa verificação em tempo real é possível graças à incorporação de uma API ou ferramenta de validação de e-mail baseada em JavaScript ao kit de phishing. O resultado? Dados roubados de maior qualidade, menos esforço desperdiçado e uma campanha de phishing mais difícil de ser detectada e desativada por ferramentas de segurança cibernética.
Índice
Filtrando as Vítimas para Máximo Impacto
A Cofense alerta que essa técnica não só aumenta as chances de roubo de credenciais de contas reais em uso, como também complica o trabalho de sandboxes automatizadas e ferramentas de rastreamento projetadas para capturar sites maliciosos. Esses sistemas frequentemente falham na verificação de validação, permitindo que a página de phishing permaneça ativa por mais tempo e evite ser sinalizada como suspeita.
Esse nível de filtragem oferece aos agentes de ameaças uma grande vantagem. Ao se concentrarem em alvos verificados, eles reduzem o risco de exposição e aumentam o retorno sobre o investimento. A tática também ajuda a prolongar a vida útil das campanhas de phishing, dificultando o acompanhamento por parte dos defensores.
Truque de Phishing para Exclusão de Arquivos Usa Ataque Duplo
Para aumentar o perigo, os invasores estão combinando essas táticas avançadas com estratégias de engenharia social. Uma campanha observada recentemente usa lembretes de exclusão de arquivos como isca. As vítimas recebem um e-mail que parece conter um link para um PDF agendado para exclusão de uma plataforma legítima de hospedagem de arquivos, a files.fm. Ao clicar no link, elas de fato são direcionadas ao serviço de hospedagem real, onde podem acessar o que parece ser um arquivo PDF.
O problema é que os usuários têm duas opções: visualizar ou baixar. A visualização abre uma página falsa de login da Microsoft, com o objetivo de coletar credenciais, enquanto o download aciona a instalação de um executável disfarçado de Microsoft OneDrive. O programa é, na verdade, o ScreenConnect, uma ferramenta legítima de área de trabalho remota da ConnectWise, frequentemente utilizada por invasores para acesso não autorizado.
Segundo a Cofense, o ataque é habilmente projetado para manipular o comportamento do usuário. As vítimas são forçadas a escolher entre duas opções igualmente perigosas, cada uma levando ao comprometimento do sistema de maneiras diferentes. Essa configuração dupla garante que o agente da ameaça alcance seu objetivo, seja o roubo de credenciais ou a implantação de malware.
Phishing Combinado com Acesso Remoto e Táticas de Vishing
Em outro acontecimento alarmante, pesquisadores de segurança cibernética descobriram uma campanha de ataque em várias etapas que combina phishing com golpes telefônicos (vishing), ferramentas de acesso remoto e técnicas de "living off-the-land". Essa operação sofisticada está alinhada ao grupo de agentes de ameaças Storm-1811 (também conhecido como STAC5777).
O ataque começa com uma mensagem do Microsoft Teams contendo um payload malicioso do PowerShell. Após obter o acesso inicial, os invasores usam o recurso Quick Assist da Microsoft para controlar o sistema remotamente. A partir daí, eles instalam softwares legítimos, como o TeamViewer, juntamente com uma DLL maliciosa carregada lateralmente e, por fim, implantam um backdoor de comando e controle baseado em JavaScript usando Node.js.
Esses incidentes destacam a crescente complexidade e criatividade das ameaças de phishing atuais. Com táticas que combinam sofisticação técnica e manipulação psicológica, os invasores estão conseguindo contornar as defesas tradicionais e enganar até mesmo usuários cautelosos.
A melhor defesa continua sendo a vigilância. As organizações precisam se manter informadas sobre essas ameaças emergentes, e os usuários precisam pensar duas vezes antes de clicar em links, inserir credenciais ou baixar arquivos — por mais legítimos que pareçam.