Un recente attacco di phishing sfrutta documenti PDF falsi ospitati sulla rete di distribuzione dei contenuti di Webflow, con l'intento di rubare informazioni sensibili, in particolare i dettagli delle carte di credito, per commettere frodi finanziarie. Gli aggressori attirano le vittime che cercano documenti tramite motori di ricerca, portandole a interagire con un PDF malevolo che contiene un'immagine CAPTCHA. Questa immagine, in realtà, nasconde un collegamento a un sito di phishing che richiede l'inserimento di informazioni sensibili.

Attacco in corso e metodo di inganno

Secondo Jan Michael Alcantara di Netskope Threat Labs, l'attacco è in corso dalla seconda metà del 2024 e coinvolge utenti alla ricerca di titoli di libri, documenti e grafici su motori di ricerca come Google. Questi utenti vengono reindirizzati a file PDF ospitati su Webflow CDN, che sembrano contenere una sfida CAPTCHA. Tuttavia, cliccando sull'immagine, gli utenti vengono portati a una pagina di phishing che presenta un vero CAPTCHA di Cloudflare Turnstile.

Questa tattica permette agli aggressori di conferire un'apparenza di legittimità al processo, ingannando le vittime facendole credere di aver superato un controllo di sicurezza. In realtà, il tutto avviene per eludere il rilevamento da parte degli scanner statici. Una volta completata la sfida CAPTCHA, gli utenti vengono indirizzati a una pagina con un pulsante "download" per accedere al presunto documento. Tuttavia, nel tentativo di completare il download, le vittime ricevono un messaggio pop-up che le invita a inserire i propri dettagli personali e della carta di credito.

Conseguenze e sviluppo del phishing

Alcantara ha evidenziato che, dopo aver inserito i dettagli, la vittima riceverà un messaggio di errore che indica che i dati non sono stati accettati. Se la vittima inserisce i suoi dati due o tre volte, viene reindirizzata a una pagina di errore HTTP 500. Questo sviluppo si verifica mentre SlashNext ha dettagliato un nuovo kit di phishing chiamato Astaroth, venduto su Telegram e mercati del cybercrimine per $2.000 per sei mesi di aggiornamenti e tecniche di elusione.

Phishing-as-a-service e Astaroth

Analogamente ad altri servizi di phishing-as-a-service (PhaaS), Astaroth consente ai criminali informatici di raccogliere credenziali e codici di autenticazione a due fattori tramite pagine di accesso false che imitano servizi online popolari. Daniel Kelley, ricercatore di sicurezza, ha spiegato che Astaroth utilizza un proxy inverso in stile Evilginx per intercettare e manipolare il traffico tra le vittime e i servizi di autenticazione legittimi come Gmail, Yahoo e Microsoft, catturando credenziali di accesso, token e cookie di sessione in tempo reale, bypassando efficacemente l'autenticazione a due fattori.