Os hackers estão a aproveitar sites de publicação de documentos digitais (DDP) hospedados em plataformas como FlipSnack, Issuu, Marq, Publuu, RelayTo e Simplebooklet para realizar phishing, coleta de credenciais e roubo de tokens de sessão, ressaltando mais uma vez como os agentes de ameaças estão redirecionando serviços legítimos para fins maliciosos.
Hospedar iscas de phishing em sites DDP aumenta a probabilidade de um ataque de phishing bem-sucedido, uma vez que esses sites geralmente têm uma reputação favorável, é improvável que apareçam em listas de bloqueio de filtros da web e podem incutir uma falsa sensação de segurança nos usuários que os reconhecem como familiares ou legítimo.
Embora os adversários tenham usado serviços populares baseados em nuvem, como Google Drive, OneDrive, Dropbox, SharePoint, DocuSign e Oneflow para hospedar documentos de phishing no passado, o desenvolvimento mais recente marca uma escalada projetada para escapar dos controles de segurança de e-mail.
Os serviços DDP permitem aos usuários fazer upload e compartilhar arquivos PDF em um formato de flipbook interativo baseado em navegador, adicionando animações de virada de página e outros efeitos a qualquer catálogo, brochura ou revista.
Descobriu-se que os atores da ameaça abusam do nível gratuito ou de um período de teste gratuito oferecido por esses serviços para criar várias contas e publicar documentos maliciosos.
O documento hospedado no DDP serve como um gateway para um site externo controlado pelo adversário, seja diretamente clicando em um link incluído no arquivo chamariz ou por meio de uma série de redirecionamentos que também exigem a resolução de CAPTCHAs para impedir esforços de análise automatizada.
A página de destino final é um site falso que imita a página de login do Microsoft 365, permitindo assim que os invasores roubem credenciais ou tokens de sessão.
Os sites DDP podem representar um ponto cego para os defensores, porque não são familiares aos usuários treinados e provavelmente não serão sinalizados por controles de filtragem de e-mail e conteúdo da web.
Os sites DDP criam vantagens para os hackers que procuram frustrar as proteções contemporâneas contra phishing. Os mesmos recursos e benefícios que atraem usuários legítimos para esses sites podem ser abusados por hackers para aumentar a eficácia de um ataque de phishing.