Uma campanha de phishing ataca contas corporativas desde Agosto de 2021.
Se o ransomware está no topo das tendências de cibercrime nos últimos dois anos, isso não significa que os golpistas cessaram os esforços em outros tipos de ciberataques.
Pesquisadores da Secureworks identificaram recentemente uma extensiva campanha de phishing que mirava campanhas corporativas, assim como influencers com um grande número de seguidores.
A campanha começa com uma mensagem falsa de Instagram alertando a vítima de uma potencial infração de copyright. Em seguida, é enviado um link encurtado através de um botão de “apelação”. O link, por sua vez, direciona para um site que imita a conta de Instagram da vítima.
Através de instruções, o site de phishing leva a vítima a uma tela de login que solicita a inserção da senha da conta de Instagram. A partir daí, os golpistas roubam as credenciais para obter acesso não autorizado à conta.
“Depois de ganhar controle sobre a conta de Instagram, os cibercriminosos alteram a senha e o nome de usuário. O nome de usuário modificado é uma variação da expressão ‘pharabenfaraway’, seguida de um número que parece ser o número de seguidores da conta sequestrada”, diz o relatório.
Os pesquisadores identificaram várias contas de Instagram que constavam o user ‘pharabenfarway’. Uma análise dos sites de phishing utilizados para roubar as credenciais das vítimas revela que a campanha se iniciou perto de Agosto de 2021.
Posteriormente, o estudo descobriu que as contas roubadas foram vendidas em fóruns underground. Uma conta, por exemplo, foi oferecida com o módico preço de 40 mil dólares.
A análise também aponta que a campanha é operada por dois atores cibercriminosos, chamados ‘Pharaben’ e ‘Farway’. O primeiro culpado utilizava um número de telefone com um código nacional russo, enquanto o segundo adotava um código da Turquia.
Os pesquisadores alegam que a investigação os levou a acreditar que a campanha deve ter se iniciado na Turquia. Em um dos incidentes, os cibercriminosos se comunicaram através de uma versão do Instagram com língua turca. A fonte da página em um dos sites de phishing também menciona um serviço de compartilhamento de arquivos da Turquia.
“Se o roubo de contas de redes sociais pode parecer insignificante, a verdade é que os cibercriminosos também poderiam acessar contas de e-mail ou outros recursos corporativos se as senhas forem as mesmas”, destaca o relatório da Secureworks.
FONTE/SAIBA MAIS: The Hacker News
