Uma campanha de phishing convincente que simula notificações de filtro de spam tem usado pages falsas e conexões websocket para capturar credenciais em tempo real, alertam pesquisadores e análises publicadas nas últimas horas.
Descoberta e panorama
Pesquisas iniciais do Unit42 e análise posterior da Malwarebytes mostram que criminosos estão enviando e‑mails que se apresentam como alertas internos de um sistema de filtragem de mensagens ("Secure Message"), informando que mensagens ficaram retidas e pedindo que o usuário clique em um botão "Move to Inbox" para recuperá‑las.
Vetor e técnica usada
Segundo as análises citadas, os links do e‑mail redirecionam primeiro por um domínio comprometido (cbssports[.]com) antes de chegar ao site de phishing hospedado em mdbgo[.]io. O endereço contém o e‑mail da vítima codificado em base64, o que permite que a página fraudulenta exiba automaticamente o domínio da vítima e aumente a sensação de legitimidade.
O aspecto técnico mais relevante apontado pelos pesquisadores é o uso de uma conexão websocket entre o navegador da vítima e o servidor dos atacantes. Em vez de esperar o envio clássico do formulário, a página mantém um canal aberto e transmite os dados enquanto o usuário digita, permitindo que os credenciais sejam recebidos em tempo real—característica descrita como "websocket‑based credential harvesting".
Impacto e riscos imediatos
- A captura em tempo real permite que o atacante tente acesso imediato a e‑mail, serviços de nuvem e outros sistemas ligados à conta;
- A conexão websocket também é utilizada para solicitar códigos de autenticação multifator, o que facilita a contornação de proteções adicionais se o usuário for induzido a fornecê‑los;
- O uso de redirecionamentos por domínios legítimos comprometidos eleva a dificuldade de detecção por filtros básicos e por usuários menos atentos.
Mitigações e recomendações
As fontes enfatizam medidas práticas: treinar usuários para desconfiar de notificações inesperadas que exigem inserir credenciais, validar URLs antes de clicar, bloquear domínios conhecidos de redirect e adotar proteção de detecção em múltiplas camadas (antiphishing, detecção de comportamento de formulários e monitoramento de sessões websocket incomuns).
Limites das informações
As publicações consultadas não detalham atribuições ou o volume total de e‑mails enviados nem identificam indicadores de comprometimento (IoCs) completos além dos domínios citados nas análises. As fontes também apontam que a campanha continua em evolução, com variantes que mudam rapidamente.
Contexto
Os pesquisadores responsáveis pela identificação desta técnica destacam que campanhas cada vez mais usam abordagens técnicas que tiram proveito de funcionalidades legítimas do navegador (como websockets) para construir ferramentas de captura mais eficientes e difíceis de bloquear apenas com assinaturas tradicionais.
“As técnicas da campanha incluem redirecionamentos por domínios comprometidos e o uso de conexões websocket para transmissão em tempo real das credenciais”, reporta Malwarebytes, com referência a avisos prévios do Unit42.