Como parte de nossa investigação sobre uma campanha de phishing com tema profissional, encontramos vários URLs suspeitos que tinham a seguinte aparência:
https://forms.google.ss-o[.]com/forms/d/e/{unique_id}/viewform?form=opportunitysec&promo=
O subdomínio forms.google.ss-o[.]com é uma tentativa clara de se passar pelo site legítimo forms.google.com. O “ss-o” provavelmente foi introduzido para se parecer com “single sign-on” (login único), um método de autenticação que permite aos usuários fazer login com segurança em vários aplicativos ou sites independentes usando um único conjunto de credenciais (nome de usuário e senha).
Infelizmente, quando tentamos acessar os URLs, fomos redirecionados para o site de pesquisa local do Google. Essa é uma tática comum dos phishers para impedir que as vítimas compartilhem seus links personalizados com pesquisadores ou análises online.
Após algumas pesquisas, encontramos um arquivo chamado generation_form.php no mesmo domínio, que acreditamos ter sido usado pela equipe de phishing para criar esses links. A página de destino da campanha era: https://forms.google.ss-o[.]com/generation_form.php?form=opportunitysec
O generation_form.php O script faz o que o nome indica: cria um URL personalizado para a pessoa que clica nesse link.
Com essa informação em mãos, pudemos verificar do que se tratava o phishing. Nosso link personalizado nos levou a este site:
O “formulário” esmaecido atrás do prompt promete:
- Estamos contratando! Executivo de Suporte ao Cliente (Processo Internacional)
- Você está procurando iniciar ou avançar na sua carreira...
- Os campos do formulário: Nome completo, endereço de e-mail e um campo para redação “Descreva detalhadamente por que devemos escolher você”.
- Botões: “Enviar” e “Limpar formulário”.
A página inteira imita o Google Forms, incluindo imagens de logotipo, esquemas de cores, um aviso sobre não “enviar senhas” e links legais. Na parte inferior, inclui até mesmo o aviso típico do Google Forms (“Este conteúdo não foi criado nem endossado pelo Google.”) para garantir a autenticidade.
Ao clicar no botão “Entrar”, fomos direcionados para https://id-v4[.]com/generation.php, que agora foi retirado do ar. O domínio id-v4.com foi usado em várias campanhas de phishing durante quase um ano. Neste caso, solicitava as credenciais da conta Google.
Dado o ângulo da “oportunidade de emprego”, suspeitamos que os links foram distribuídos por meio de e-mails direcionados ou LinkedIn .
Como se manter seguro
Atrações que prometem oportunidades de trabalho remoto são muito comuns hoje em dia. Aqui estão algumas dicas para ajudá-lo a se proteger contra ataques direcionados como esse:
- Não clique em links em ofertas de emprego não solicitadas.
- Use um gerenciador de senhas, que não teria preenchido seu nome de usuário e senha do Google em um site falso.
- Utilize uma solução antimalware atualizada e em tempo real com um componente de proteção da web.
Dica profissional: Malwarebytes Guard identificou esse ataque como uma fraude apenas ao analisar a URL.
IOCs
id-v4[.]com
formulários.google.ss-o[.]com
Não nos limitamos a informar sobre fraudes - ajudamos a detectá-las
Os riscos de segurança cibernética nunca devem ir além de uma manchete. Se algo parecer suspeito para você, verifique se é uma fraude usando Malwarebytes Guard. Envie uma captura de tela, cole o conteúdo suspeito ou compartilhe um link, texto ou número de telefone, e nós informaremos se é uma fraude ou se é legítimo. Disponível com Premium Malwarebytes Premium para todos os seus dispositivos e no Malwarebytes para iOS Android.
