Golpes de phishing se passam por entrevistas de emprego de grandes empresas para roubar contas do Google.

Uma campanha de phishing está se passando por mais de 30 marcas conhecidas, incluindo Adobe, Netflix, Coca-Cola e OpenAI, em falsas entrevistas de emprego para roubar credenciais de contas do Google de profissionais de marketing.
A operação está abusando da plataforma legítima de recursos humanos PeopleForce, baseada em nuvem, e de um domínio associado ao serviço Salesforce Marketing Cloud, antes de redirecionar o destinatário para uma página de destino maliciosa.
Para aumentar a confiança e as chances de sucesso, o agente malicioso está usando nomes e fotos de recrutadores reais em empresas falsificadas.
Will Thomas, consultor sênior da Team Cymru, empresa de inteligência em cibersegurança e busca de ameaças, analisou a campanha e descobriu que o e-mail de phishing se passa por "um recrutador procurando contratar pessoas para funções de marketing".
O pesquisador descobriu que o agente malicioso está usando pelo menos 34 domínios, se passando por empresas de alto valor nos seguintes setores:
- Companhias aéreas e viagens: American Airlines, Booking.com, Delta Air Lines, United Airlines
- Alimentos e bebidas: Coca-Cola, PepsiCo, Red Bull
- Vestuário e artigos de luxo: Adidas, Louis Vuitton, Sephora, Levi's
- Recrutamento, consultoria e tecnologia: Adobe, Aquent, ManpowerGroup, McKinsey & Company, OpenAI
- Hotelaria e marketing: Marriott, Omnicom Group
- Entretenimento e esportes: FIFA, Netflix
Thomas descobriu que a campanha se baseia em redirecionamentos aninhados, uma técnica que direciona os visitantes por meio de vários serviços legítimos antes de chegarem à página de destino maliciosa.
O pesquisador observou que, embora os e-mails de phishing pareçam se originar da PeopleForce, os links subjacentes levam ao domínio exct[.]net , que é operado pela Salesforce após a aquisição da plataforma de automação de marketing ExactTarget, agora renomeada como Salesforce Marketing Cloud.
O ExactTarget redireciona para o software de Gestão de Relacionamento com o Cliente (CRM) imobiliário baseado na nuvem Wise Agent ( wiseagent[.]com ) para agentes, equipes e corretores, que, por sua vez, redireciona para a página de destino de phishing.
O BleepingComputer descobriu que a operação estava em andamento há pelo menos cinco meses e que inicialmente utilizava endereços de e-mail do Outlook com o nome da empresa falsificada.
Um e-mail de phishing, fingindo ser uma mensagem da recrutadora da Adidas, Paulina Manzo, pedia ao destinatário que agendasse uma conversa sobre uma possível vaga na empresa.

Fonte: Sergiu George
Ao clicar no link para o calendário, o destinatário foi redirecionado para a página de destino do agente malicioso adidas-hiring[.]com.
Para dar continuidade ao processo de agendamento de uma reunião com o recrutador, a potencial vítima é solicitada a fazer login em sua conta do Google.

Fonte: BleepingComputer
Clicar no botão “Continuar com o Google” aciona uma janela pop-up falsa de login do Google, exibida dentro da página de phishing para simular a autenticação do Google.
Embora a janela pop-up possa parecer uma janela legítima do navegador, trata-se apenas de código HTML e CSS renderizado dentro da página de phishing, uma técnica conhecida como navegador-no-navegador (BitB).
Utilizando ferramentas modernas de desenvolvimento web, o atacante pode imitar todos os elementos de uma página pop-up de autenticação legítima.

: BleepingComputer
Embora não esteja claro como o agente malicioso obteve acesso às plataformas legítimas, o uso indevido delas não implica necessariamente uma violação dos serviços.
Uma possível solução é criar uma conta genuína especificamente para a campanha ou usar logins comprometidos, o que permite configurar a cadeia de redirecionamento e a página de destino.
Uma lista dos domínios descobertos nesta campanha de phishing está disponível na análise de Will Thomas no GitHub.
Comentários