Contas de empresas e influenciadores no Instagram são alvos de campanha de phishing
Em fóruns, pesquisadores encontraram a venda dessas credenciais sequestradas por cerca de US$ 40 milBy - Liliane Nakagawa, 26 janeiro 2022 às 20:00
De acordo com Secureworks, contas de empresas e influenciadores no Instagram são os novos alvos em uma nova campanha de phishing. A descoberta foi feita em outubro, sendo detectadas contas com grande quantidade de seguidores assumidas por atacantes.
O ataque consiste em enviar uma mensagem falsa em nome da rede social para a vítima, notificando-a sobre uma suposta infração de direitos autorais. No e-mail, um link redireciona a um site controlado pelos atacantes.
Nesse ambiente, o usuário é solicitado a inserir as credenciais da conta do Instagram (login e senha), dando a partir daí o acesso total aos atacantes. “Depois de obter o controle da conta Instagram, os atores da ameaça mudam a senha e o nome de usuário. O nome de usuário modificado é uma variação do ‘pharabenfarway’ seguido por um número que parece ser o número de seguidores da conta sequestrada”, explicou a Secureworks.
Além disso, sequestradores da conta acrescentam ao perfil da vítima que ‘esta conta Instagram é mantida para ser vendida de volta ao seu proprietário’. Um link composto de um domínio WhatsApp reduzido (wa .me) e um número de contato. Ao clicar, o usuário é redirecionado ao chat no WhatsApp para conversar com os atacantes. Após estar em posse da conta, eles também enviam mensagem de texto no número cadastrado na conta para contatar a vítima e dar início a negociação de resgate em troca do acesso à conta.
Com base nas datas de criação do domínio, a Secureworks acredita que já houve vários sequestros de contas e o início da campanha seja recente, ainda em 2021.
Em setembro, por meio de buscas em fóruns na deepweb, os pesquisadores encontraram a venda dessas credenciais sequestradas por cerca de US$ 40 mil. Os atacantes oferecem também número de telefone baseados na Rússia e Turquia.
Outras evidências apontam que pelo menos um deles está sediado em território turco. “Em um incidente, a comunicação de ator ameaçador originou-se de uma versão em turco do Instagram. Além disso, a fonte da página de um dos sites de phishing faz referência ao serviço de compartilhamento de arquivos hizliresim.com turco. A infraestrutura associada a esta campanha está baseada na Turquia e em outros países”, disse a Secureworks.
Além do acesso ao à conta do Instagram, a empresa de cibersegurança observou que os ataques do gênero podem dar acesso às contas de e-mails ou outros recursos corporativos caso as senhas fossem reutilizadas.
Via ZDNet
Comentários