La solución de sistema de archivos descentralizado conocida como IPFS se está convirtiendo en el nuevo «semillero» para alojar sitios de phishing, advirtieron los investigadores.
La firma de seguridad cibernética Trustwave SpiderLabs, que reveló detalles de las campañas de ataque, dijo que identificó no menos de 3000 correos electrónicos que contenían URL de phishing de IPFS como un vector de ataque en los últimos tres meses.
IPFS, abreviatura de InterPlanetary File System, es una red peer-to-peer (P2P) para almacenar y compartir archivos y datos utilizando hashes criptográficos, en lugar de direcciones URL o nombres de archivo, como se observa en un enfoque tradicional de cliente-servidor. Cada hash forma la base de un identificador de contenido único (CID).
La idea es crear un sistema de archivos distribuido resistente que permita que los datos se almacenen en varias computadoras. Esto permitiría acceder a la información sin tener que depender de terceros, como los proveedores de almacenamiento en la nube, lo que la haría resistente a la censura.
«Eliminar el contenido de phishing almacenado en IPFS puede ser difícil porque incluso si se elimina en un nodo, aún puede estar disponible en otros nodos», las investigadoras de Trustwave Karla Agregado y Katrina Udquin dijo en un informe
Lo que complica aún más las cosas es la falta de un identificador uniforme de recursos (URI) estático que se pueda usar para ubicar y bloquear una sola pieza de contenido cargado de malware. Esto también significa que podría ser mucho más difícil acabar con los sitios de phishing alojados en IPFS.
Los ataques observados por Trust generalmente involucran algún tipo de ingeniería social para bajar la guardia de los objetivos con el fin de persuadirlos para que hagan clic en enlaces IPFS fraudulentos y activen las cadenas de infección.
Estos dominios solicitan a las víctimas potenciales que ingresen sus credenciales para ver un documento, rastrear un paquete en DHL o renovar su suscripción de Azure, solo para desviar las direcciones de correo electrónico y las contraseñas a un servidor remoto.
«Con la persistencia de datos, una red robusta y poca regulación, IPFS es quizás una plataforma ideal para que los atacantes alojen y compartan contenido malicioso», dijeron los investigadores.
Los hallazgos se producen en medio de un cambio mayor en el panorama de las amenazas por correo electrónico, con los planes de Microsoft para bloquear macros que hacen que los actores de amenazas adapten sus tácticas para distribuir ejecutables que pueden conducir al reconocimiento de seguimiento, robo de datos y ransomware.
Visto de esa manera, el uso de IPFS marca otra evolución en el phishing, brindando a los atacantes otro campo de juego lucrativo para experimentar.
«Las técnicas de phishing han dado un salto al utilizar el concepto de servicios en la nube descentralizados mediante IPFS», concluyeron los investigadores.
«Los spammers pueden camuflar fácilmente sus actividades al alojar su contenido en servicios de alojamiento web legítimos o usar múltiples técnicas de redirección de URL para ayudar a frustrar los escáneres que utilizan la reputación de URL o el análisis de URL automatizado».
Además, estos cambios también han estado acompañados por el uso de kits de phishing listos para usar, una tendencia llamada phishing-as-a-service (PhaaS), que ofrece un medio rápido y fácil para que los actores de amenazas realicen ataques por correo electrónico. y SMS.
De hecho, se observó una campaña a gran escala descubierta el mes pasado utilizando una plataforma PhaaS de cuatro meses de antigüedad denominada Robin Banks para saquear credenciales y robar información financiera de clientes de bancos conocidos en Australia, Canadá, el Reino Unido y los EE. UU. la firma de seguridad cibernética IronNet reveló esta semana.
«Si bien la motivación principal de los estafadores que usan este kit parece ser financiera, el kit también pide a las víctimas sus credenciales de Google y Microsoft después de viajar a la página de inicio de phishing, lo que indica que también podría ser utilizado por actores de amenazas más avanzados que buscan ganar acceso inicial a redes corporativas para ransomware u otras actividades posteriores a la intrusión», los investigadores dijo.