Široko rasprostranjena phishing kampanja primijećena je kako koristi lažne PDF dokumente hostovane na Webflow mreži za dostavu sadržaja (CDN), s ciljem krađe podataka o kreditnim karticama i finansijskih prevara.
“Napadač cilja žrtve koje pretražuju dokumente putem pretraživača, što ih dovodi do maliciioznog PDF-a koji sadrži CAPTCHA sliku ugrađenu s phishing linkom, navodeći ih da unesu osjetljive podatke,” rekao je Jan Michael Alcantara, istraživač u Netskope Threat Labs.
Ova aktivnost, koja traje od druge polovine 2024. godine, uključuje korisnike koji traže naslove knjiga, dokumente i grafikone na pretraživačima poput Google-a, a zatim bivaju preusmjereni na PDF datoteke hostovane na Webflow CDN-u.
Ovi PDF-ovi sadrže sliku koja oponaša CAPTCHA izazov, što korisnike koji kliknu na nju preusmjerava na phishing stranicu koja, ovaj put, sadrži pravu Cloudflare Turnstile CAPTCHA provjeru.
Kako napad funkcionišu?
Napadači na ovaj način nastoje dati napadu legitiman izgled, uvjeravajući žrtve da su prošle sigurnosnu provjeru, dok istovremeno izbjegavaju otkrivanje putem statičkih skenera.
Nakon što korisnici završe stvarni CAPTCHA izazov, bivaju preusmjereni na stranicu s “download” dugmetom za preuzimanje navodnog dokumenta. Međutim, kada pokušaju preuzeti dokument, pojavi se pop-up poruka koja od njih traži unos ličnih podataka i podataka o kreditnoj kartici.
“Nakon što unesu podatke o kreditnoj kartici, napadač im šalje poruku o grešci, sugerirajući da kartica nije prihvaćena,” rekao je Michael Alcantara.
“Ako žrtva pokuša unijeti podatke još dva ili tri puta, biće preusmjereni na HTTP 500 error stranicu.”
Astaroth – Novi Phishing Alat
Ovaj razvoj događaja dolazi u trenutku kada je SlashNext otkrio novi phishing kit nazvan Astaroth (ne treba ga miješati s istoimenim bankarskim malware-om). Ovaj alat se prodaje na Telegram-u i cybercrime tržištima za 2.000 dolara, uz šest mjeseci ažuriranja i tehnika za zaobilaženje sigurnosnih provjera.
Kao i drugi Phishing-as-a-Service (PhaaS) alati, Astaroth omogućava cyber kriminalcima da prikupljaju pristupne podatke i 2FA kodove putem lažnih login stranica koje oponašaju popularne online servise.
“Astaroth koristi reverse proxy sličan Evilginx-u kako bi presreo i manipulisao prometom između žrtava i legitimnih servisa za autentifikaciju poput Gmail-a, Yahoo-a i Microsoft-a,” rekao je Daniel Kelley, sigurnosni istraživač.
“Djelujući kao ‘man-in-the-middle’, alat u realnom vremenu presreće login podatke, tokene i session cookie-je, efikasno zaobilazeći dvofaktorsku autentifikaciju (2FA).”
Izvor:The Hacker News