Campanha de infostealer AZORult lança falsos Google Docs no Google Sites

Um grupo de ciberatacantes criou páginas falsas do Google Doc, no Google Sites, para utilizar o HTML e descarregar cargas de malware maliciosas. O ataque ocorreu com base numa campanha de roubo de infostealer da AZORult.

De acordo com a Netskope Threat Labs, o AZORult infostealer payload rouba as credenciais do utilizador e as informações do cartão de crédito, recorrendo a um domínio legítimo como o Google Sites.

De acordo com os investigadores, os cibercriminosos atraem as suas vítimas para páginas falsas do Google Docs, levando-as a acreditar que o arquivo descarregado é do Google Docs. Na maioria dos casos, os invasores incorporam a carga maliciosa no próprio Javascript.

Na opinião de Patrick Tiquet, vice president, security and architecture na Keeper Security, o AZORult serve como exemplo da evolução das campanhas de malware, através do contrabando de HTML, uma técnica que coloca em causa os sites legítimos do Google. A técnica oferece a possibilidade de contornar a maioria das medidas de segurança, não sendo possível identificar conteúdo possível conteúdo malicioso. 

“As organizações devem garantir que têm as precauções básicas, incluindo uma plataforma de proteção de endpoint, filtragem da web, proteção de email e formação de funcionários. Se um cibercriminoso violar uma rede por meio do contrabando de HTML, uma arquitetura de segurança cibernética de zero-trust e zero-knowledge limitará o acesso do ator mal-intencionado”, reforçou Patrick Tiquet.

Lionel Litty, chief security architect na Menlo Security, revela que é apenas necessário um pequeno fragmento não codificado de JavaScript para iniciar o processo.

Jason Soroko, senior vice president of product at Sectigo, acredita que as táticas defensivas contra o contrabando de HTML exigirão que um sistema volte a montar o ficheiro codificado em JavaScript ou HLML para encontrar os padrões reveladores do malware.