Pesquisadores de cibersegurança descobriram uma nova campanha de phishing que utiliza o Google Drawings e links encurtados gerados via WhatsApp para evitar detecção e enganar usuários, induzindo-os a clicar em links falsos projetados para roubar informações sensíveis.

Segundo Ashwin Vamshi, “os atacantes escolheram um grupo de sites conhecidos, como Google e WhatsApp, para hospedar elementos do ataque, além de uma página falsa da Amazon para coletar informações das vítimas”. Vamshi descreve o ataque como um exemplo de ameaça “Living Off Trusted Sites” (LoTS), onde sites confiáveis são abusados para conduzir ataques.

O ponto de partida do ataque é um e-mail de phishing que direciona os destinatários a uma imagem que parece ser um link de verificação de conta da Amazon. Essa imagem, hospedada no Google Drawings, serve como uma estratégia para evitar a detecção por ferramentas de segurança.

O uso de serviços legítimos como o Google Drawings oferece vantagens óbvias para os atacantes. Além de ser uma solução de baixo custo, esses serviços proporcionam uma forma clandestina de comunicação dentro de redes, uma vez que é improvável que sejam bloqueados por produtos de segurança ou firewalls.

“O Google Drawings é especialmente atraente no início do ataque porque permite que os usuários (neste caso, os atacantes) incluam links em suas imagens”, explica Vamshi. “Esses links podem facilmente passar despercebidos, especialmente se os usuários sentirem uma urgência em relação a uma possível ameaça à sua conta Amazon.”

A página falsa é projetada para coletar credenciais, informações pessoais e detalhes de cartão de crédito. Após a coleta, as vítimas são redirecionadas para a página de login original da Amazon. Como um passo extra, a página web se torna inacessível a partir do mesmo endereço IP uma vez que as credenciais tenham sido validadas.