Pular para o conteúdo principal

Phishing através de técnicas BLACK HAT SEO


 O Novo Arsenal Phisher


Técnicas de phishing sofrem mutação a cada momento, seja por conta de um novo exploit ou pelo fato de determinada técnica não funcionar, mas uma coisa é certa o phishing sempre está em evolução.

Em 2016 foi o ano que fiz minha pesquisa sobre a utilização de motores de busca no cenário de phishing onde com base em artigos, testes e um pouco de malicia consegui realizar tal conceito.

Minha pesquisa consiste em mostrar algumas tricks que atacantes usam para gerar trafego legitimo em suas paginas maliciosas e ludibriar seu target ao download.



O método:

Tal forma simples ainda garante muitos acessos quando se trata de forjar

 Tal forma simples ainda garante muitos acessos quando se trata de forjar palavras chaves e concatenar o maior numero de técnicas Black Hat SEO em um arquivo / url, efetuado o upload do maior numero de arquivos PDF's "legítimos" com palavras chaves direcionados para um grupo de interesse.


Para entender o uso do PDF:
Em 2008, o Google anunciou em seu blog oficial que, a partir de agora, através da Optical Character Recognition (OCR), Que permite converter imagens com texto em documentos de texto usando algoritmos de computação automatizados. As imagens podem ser processadas individualmente (arquivos .jpg, .png e .gif) ou em documentos PDF com várias páginas (.pdf).

Em 2008, o Google anunciou em seu blog oficial que, a partir de agora, através da Optical Character Recognition (OCR), Que permite converter imagens com texto em documentos de texto usando algoritmos de
computação automatizados. As imagens podem ser processadas individualmente (arquivos .jpg, .png e .gif) ou em documentos PDF com várias páginas (.pdf).

 A leitura e indexação de arquivos PDF não é novidade para ninguém, a tal ponto que criminosos também começaram a usar os benefícios de indexar documentos PDF para manipular resultados do Google.
Os fraudadores usam documentos PDF fakes com palavras chaves , links e imagens para assim atingir o seu objetivo que seria destacar-se nos motores de busca. Em comparação com as páginas HTML comuns, O Google parece confiar mais e punir bem menos páginas PDF.



O procurado click:
O que seria fins maliciosos ? Seria direcionar o target para propagandas, exploração de vetores em seu navegador, ataques em seu roteador entre outras artimanhas. 

O que seria fins maliciosos ?
Seria direcionar o target para propagandas, exploração de vetores em seu navegador, ataques em seu roteador entre outras artimanhas.

 O intuito muitas vezes não é só ludibriar o target para efetuar um simples download, mas sim lucrar o máximo com seu click, se o mesmo não executar o artefato assim garante uma forma de retorno financeiro.
Técnica Keyword Stuffing:

 Tal forma de "manipulação" é bem antiga, mas ainda bem eficaz, mas hoje a sua evolução que pude perceber no decorrer da pesquisa é o seu uso como se fosse um "Spear Phishing", sim isso mesmo um "Spear Phishing" ele é feito de forma mais aberto porem restringindo suas palavras chaves, padrão de url's e até mesmo imagens a um determinado grupo.

O diferencial dessa técnica é que o pescador é passivo o mesmo não executa uma ação mais intrusiva, ele espera o acesso do seu target assim garantindo mais sucesso de infecções.
Gerando arquivos em massa:

 Quando se trata de ações na web um atacante não quer perder tempo. Armado de seu arsenal sempre atualizado para otimizar seus processos. Por esse fato criei uma pequena tool que vai criar e injetar um conjunto de palavras chaves em nosso PDF's, para termos noção de uma estrutura final do arquivo de isca.

 Algumas palavras chaves que serão usadas no processo:
Compre_seu,Carro_novo,usado,condicoes,gerais,semi_novo,Comprar,
condições_gerais,porto_seguro,automóvel,Carro,Nossos,carros,Pick,up,
SUV,Gol,VW,Up,Golf,Novo,Fox,computador,bordo,rodas,liga,leve,FRANQUIA,
airbag,passageiro,freios,ABS,retrovisores,elétricos,Câmbio,automatico,
automatizado,manual,Ofertas,Preços,Simular,financiamento,Fotos,Ficha,
técnica,Tiguan,EXTRA...


 Execução da ferramenta:


A lógica da ferramenta funciona da seguinte forma.
Sua base é um arquivo preenchido com diversas palavras chaves direcionadas para um determinado grupo. geramos um PDF para cada palavra chave e cada palavra chave é vinculada ao nome do próprio arquivo e a ferramenta já cria links internos referenciando outros arquivos gerados, essa técnica pode ser usada como LINK FARM.
PDF forjado:



 Usando elementos básicos de SEO é forjado o PDF isca para e é esse arquivo que o motor de busca vai indexar.
Garantindo o acesso:
Para "hackear" de forma expressiva e também garante o acesso das vítimas a suas (URL’S || arquivos maliciosos), O criminoso pode refinar o arquivo .htaccess de forma que o Bot de indexação (Web crawler) tenha acesso ao seu conteúdo, mas não o usuário alvo pois o mesmo é direcionado para site de terceiros.

Arquivo .htaccess modificado:

Lógica do atacante: isso é usado para que o motor de busca acesse o PDF forjado, porem o target só vê o cache do mesmo nos resultados assim garantindo uma engenharia social gerada pelo próprio motor de busca.
Busca infectada:

 É uma exploração de relação de confiança entre usuário e seu aplicativo web "favorita", pois ele não vai oferecer o conteúdo "carros usados", para alguém que de suma maioria curtir páginas(facebook) ou pesquisa keywords para cinema ou faz pesquisa de Corte e Costura ou seja o target ativa o gatilho.

O uso do Google AdWords:

 A grande trick referente conjunto de palavras chaves e potencializar o acesso é o anuncio pago que tal técnica não é só usada em motores de busca, mas também em redes sociais como Facebook.

O patrocínio /anuncio pago de palavras chaves vinculadas aos seus arquivos forjados potencializa em mais de 50% as chaves de vitimas acessarem tal url infectada.

Com investimento de R$50,00 por dia filtrando alvos no estado de São Paulo o atacante pode ter alcance potencial de 1K cliques + 57k de impressões.
Achei o valor de 1k inflado pelo Google, mas suponhamos que tal valor real é de 500 cliques por R$50,00 analisando cenário comparativo com spammer comum o Black Hat SEO tem grande potencial spear pelo filtro avançado que própria ferramenta de propaganda oferece e pela assertividade de direcionar para pessoa certa.
Em minha humilde opinião redes sociais e motores de busca serão o futuro dos spammers, tanto pela assertividade filtro avançado de perfil quanto pela facilidade de atingir milhares de pessoas facilmente.


Um exemplo recente de Link patrocinado malicioso é o  Fake BSOD warning, onde o usuário ao clicar no link erá direcionado para uma página que simulava a tela azul de erro Windows (famosa tela da morte).
O Fake warning exibia uma mensagem orientando suas vitimas a discar o numero do "suporte" técnico, para obter a devida "ajuda".

Tal anúncio patrocinado aparecia e destaque quando a palavra chave "youtube" erá buscada no Google. Contatado pela Malwarebytes, o Google AdWords removeu imediatamente os anúncios fraudulentos.
A tela fake usada no modelo BSOD de ataque é uma variação das telas “Scan Virus Alert” que consiste simular um escaneamento ou um simples alerta de vírus, posteriormente oferecer uma “Ferramenta” ou telefone  para auxiliar na remoção de tal vírus, apesar de não muito usada no brasil essa técnica é bem antiga.
Sua nova variação e mais avançada é voltada para publico mobile, algumas versões web pedem dados do cartão de credito e utilizam functions que podem fazer seu celular até mesmo vibrar.


Scan alert sempre em evolução:

 

O fluxo final seria dessa forma:

O usuário toma ação de efetuar uma pesquisa, em seu resultado de busca aparece tais urls infectadas seja no orgânico ou patrocinado, depois do clique o target pode entrar em vários cenários seja de baixar um PDF infectado ou PE até mesmo ter vários vetores explorados em seu navegador ou roteador. Bom esse é um cenário simplista, mas é possivel ter noção do potencial dessa tipo de técnica. 

Posso afirmar que hoje meios pagos de publicidade como Google AdWords, se tornaram um dos maiores vetores que proporcionam ataques. Fraudes envolvendo em publicidade paga é outro level quando falamos de spear phishing tanto quando se trata de facilidade e retorno lucrativo.
Qualquer pessoa pode criar uma conta no Google AdWords ou Facebook sem nem um tipo de verificação se X é dono da marca Y. muitas vezes o atacante usa técnicas de typosquatting para ludibriar seu target.

Não só o target user é afetado por tal técnica, mas também a empresa que teve sua marca vinculada ao ataque.
Ferramenta usada no post: forjaPDF (para estudos)
A ferramenta usada no artigo utiliza as class do projeto Dompdf


Referências: 

  1. https://docs.google.com/presentation/d/1VHibceRJBmLOw-szXc_ky_vpr3VFubGkaRlVaTTpzBU
  2. https://blog.malwarebytes.com/threat-analysis/2015/09/malvertising-via-google-adwords-leads-to-fake-bsod/
  3. https://noticias.terra.com.br/dino/fraudes-com-google-adwords-continuam-em-alta,2440988f8c4ccf9421e7115261e8745b9c5sojr6.html 
  4. http://dompdf.github.com
  5. https://www.elpescador.com.br/blog/index.php/phishing-engenharia-social-entenda-porque-essas-tecnica
  6. https://support.google.com/drive/answer/176692?hl=pt-BR
  7. https://scholar.google.com.br/intl/pt-BR/scholar/publishers.html#tech2
  8. https://www.elpescador.com.br/blog/index.php/quatro-fatos-que-explicam-porque-o-phishing-e-a-maior-arma-do-cibercrime
  9. https://support.google.com/webmasters/answer/6001181?hl=pt-br
  10. http://httpd.apache.org/docs/2.2/pt-br/howto/htaccess.html
  11. https://www.rapid7.com/db/modules/exploit/windows/fileformat/adobe_pdf_embedded_exe
  12. https://www.offensive-security.com/metasploit-unleashed/client-side-exploits
  13. https://www.offensive-security.com/metasploit-unleashed/msfconsole
  14. https://www.elpescador.com.br/blog/index.php/games-online-um-campo-minado-de-phishing
  15. https://www.facebook.com/business/products/ads
  16. https://support.google.com/webmasters/answer/1061943?hl=pt-BR
  17. https://blog.malwarebytes.org/mobile-2/2013/12/android-pop-ups-warn-of-infection
  18. https://www.microsoft.com/en-us/security/pc-security/antivirus-rogue.aspx
  19. https://www.elpescador.com.br/blog/index.php/phishing-engenharia-social-entenda-porque-essas-tecnicas-estao-interligadas
  20. http://g1.globo.com/tecnologia/blog/seguranca-digital/post/golpe-com-falsa-tela-azul-da-morte-e-veiculado-em-anuncios-na-web.html
  21. http://www.agenciamestre.com/seo/link-farm
  22. http://help.adobe.com/livedocs/acrobat_sdk/10/Acrobat10_HTMLHelp/wwhelp/wwhimpl/common/html/wwhelp.htm?context=Acrobat10_SDK_HTMLHelp&file=JS_Dev_Overview.71.1.html
  23. http://partners.adobe.com/public/developer/en/acrobat/sdk/AcroJSGuide.pdf
  24. https://dl.packetstormsecurity.net/1411-exploits/googledoubleclick-redirect.txt
  25. https://support.google.com/analytics/answer/1033981
Tags:

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Information Gathering: Plugin Mailchimp for WordPress

É possível coletar informações (E-mails) do log gerado pelo plugin Mailchimp for WordPress no CMS Wodpress . Isso não se trata de uma falha do plugin de fato, mas sim falta de configuração das pastas, porem pode ser categorizado como vazamento de informação. Issue no GIT falando sobre: Logo depois do report foi modificado: Add migration to rename log file & insert PHP exit header. #28 1 https://github.com/ibericode/mailchimp-for-wordpress/commit/df7c4929b928406583e2c2c03e2156d2257121b5 Add migration to rename log file & insert PHP exit header. #281 https://github.com/ibericode/mailchimp-for-wordpress/commit/12bd049d684ad51dd72a5d7d9bf1b505ca98765c O que é o plugin: Mailchimp for WordPress Allowing your visitors to subscribe to your newsletter should be easy. With this plugin, it finally is. This plugin helps you grow your Mailchimp lists and write better newsletters through various methods. You can create good looking opt-in forms or integrate with any existing...
Postar um comentário
Leia mais »

Nova versão do Scanner INURLBR!

Salve! salve! depois de anos dei um tapa no code do scanner INURLBR. E galera o code não foi kibado da  INURL BRASIL , pois eu sou o dono (  ESSE É O TAL OWNER? ). " Viajei voltei pra você, voltei pelos locos  voltei pelos pretos, e pelas verde consequentemente..  Mééu Deus é quente É desse jeito.. "  - Racionais Mc's Para quem acompanha o projeto INURLBR que foi criado em meados de 2014 em sua versão public, mas o code priv8 é datado de 2011..2012, sabe que a INURL BRASIL tinha como ideia principal fomentar a cena   coder(tool)  nas terras tupiniquim.  Commit:   https://github.com/googleinurl/SCANNER-INURLBR/commit/0fde4bbe0175e2deb04531528ccf66eed96e408a Afinal, o que mudou no script? Inicialmente foi migrado o repo de  https://github.com/googleinurl/SCANNER-INURLBR/  para meu novo perfil  https://github.com/MrCl0wnLab/SCANNER-INURLBR  onde tentarei dar uma melhor organizada no projeto. Commit:   https://github.c...
6 comentários
Leia mais »

Hold the door! ... Hold the BackDoor PHP

Esse pequeno post é focado em uma das diferentes técnicas que venho estudando no PHP, mas direcionando no quesito de variação de código para backdoor web. O cenário de uso dos exemplos abaixo é um pensamento fora da caixa, dando exit() no básico usado em muitos códigos backdoor. Foquei nas variáveis globais GET ,POST ,REQUEST. As functions mais usadas: (PHP 4, PHP 5, PHP 7) shell_exec — Executa um comando via shell e retorna a saída inteira como uma string string shell_exec ( string $cmd ) EXEC-> php -r 'shell_exec("ls -la");' (PHP 4, PHP 5, PHP 7) system — Executa um programa externo e mostra a saída string system ( string $command [, int &$return_var ] ) EXEC-> php -r 'system("ls -la");' (PHP 4, PHP 5, PHP 7) exec — Executa um programa externo string exec ( string $command [, array &$output [, int &$return_var ]] ) EXEC-> php -r 'exec("ls -la",$var);print_r($var);' (PHP 4, PHP 5, PHP...
Postar um comentário
Leia mais »

OSINT: Buscando Chaves API de Google Maps usando Google Hacking

  Voltando para meus exercícios de OSINT . apareceu uma pequena demanda por chaves API de Google Maps, mas por qual motivo?   Precisei de uma chave API Google Maps, pois aspirava colocar vários  embed's de Maps em um único HTML sem necessidade de abrir o Maps para gerar tal URL Iframe . Lembrando que todo esse processo de gerar mapas pode ser  feito criando uma chave de API normal em sua conta da Google. Mostrarei a diferença de processo para gerar um Iframe sem chave API. O primeiro passo para obter um código EMBED (HTML) para incorporar o seu mapa personalizado é acessar o link: https://www.google.com.br/maps ; Logo após, digite o seu endereço de forma completa na barra ‘Pesquise no Google Maps’ e posteriormente clique na lupa; O Google irá exibir uma imagem do ‘Street view’ e a localização exata no mapa ao lado, no qual você terá que clicar no botão ‘Compartilhar ou incorporar mapa’, fica em opções do lado esquerdo....
Postar um comentário
Leia mais »

Information Gathering: Coleta de email em Posts do Linkedin

As redes sociais são um buraco sem fim quando se trata de usuários expondo dados pessoais. isso qualquer analista de segurança sabe, e tal característica  pode ser usado como uma fonte rica para ataques direcionados. Criou-se um comportamento padrão em post's LinkedIn onde o "influenciador" posta um X conteúdo e para você reles mortal ter acesso, tem que fazer um comentar com seu e-mail para o tal "coach" enviar o resto do conteúdo ou uma planilha mágica. TÉCNICA Basicamente encontramos uma padrão de URL nos posts do LinkedIn e com tal informação é possível criar dorks de busca e extrair os emails. EXEMPLO DE URLS https:// www.linkedin.com/pulse/ planilha-de-controle-ordem-produção-marcos-rieper/ https:// www.linkedin.com/pulse/ planilha-para-avaliação-de-desempenho-e-competências-plano-garcia/ https:// www.linkedin.com/pulse/ planilha-teste-para-estagiárioxlsdownload-gratuito-arthur/ Identificando o padrão de string www.linkedin.com/pulse/ é possível...
Postar um comentário
Leia mais »

OSINT: Precisa Medicamentos

Continuando os estudos de OSINT ( Open-source intelligence ) decide fazer uma breve coleta de informações da empresa citada na CPI do Covid chamada Precisa Medicamentos.  Lembrando que os dados coletados são públicos e não foi necessário invasão de dispositivo eletrônico para tal Blog Post.   Por onde começar? Para start da coleta vamos usar somente a string: Precisa Medicamentos Observe que a string "Precisa Medicamentos" usa aspas duplas, pois assim o motor de busca identifica como um conjunto de caracteres. INFORMAÇÃO COLETADA / DOMÍNIO  ( ID-00001 ) : precisamedicamentos[.]com.br FONTE https://search.brave.com/search?q=%22Precisa+Medicamentos%22 COLETANDO INFORMAÇÃO Vamos para o básico do básico o famoso whois, mas usando uma " trick " via registro.br e sua API que retorna em formato JSON. WHOIS { "objectClassName": "domain", "handle": "precisamedicamentos.com.br", "ldhName": "precisamedicamentos...
1 comentário
Leia mais »

Body Web Sextortion (webcam blackmail) / Anti-Grep

Sextortion is back!!  Sextorsão ( do termo em inglês  sextorsion ) é o termo que designa a prática de extorsão a partir da ameaça de exposição de supostas fotos ou vídeos sexuais das vítimas na Internet. Os criminosos intimam divulgar o material a amigos e parentes caso a pessoa não cumpra o favor pedido dentro de um curto período de tempo. Algumas vezes, os golpistas não têm qualquer conteúdo comprometedor da vítima em mãos, mas utilizam mecanismos bastante convincentes para que ela realmente acredite no golpe. TÉCNICA USADA A vitima recebe um email com seguinte padrão exemplo: "Estou bem ciente de que XXXXXXXXX é a sua senha". Com a diferença, é claro, que no lugar dos X está a sua combinação verdadeira de alguma senha vazada do usuário. E complemento informando ter um vídeo íntimo seu e que você tem 24 horas para salvar a sua pele. Sextortion tem seu sucesso por usar dados vazados de vitimas assim adquirindo um contexto maior de veracidade da ameaça contida no em...
1 comentário
Leia mais »

Fraude Segura

Por tempos ouvimos de "especialistas" em segurança a famosa frase: sempre antes de fornecer seus dados verifique se o site tem https e o cadeadinho verde. Mas estamos em 2019 e essa informação já não basta para falar se site X ou Y é seguro, quanto mais sites com "cadeadinho verde" mais phishings com certificado SSL no processo. E chamo isso de fraude segura. O ícone de cadeado carregou muito mais peso anos atrás, e para obter um certificado SSL / TLS foi um processo mais difícil, mas esses certificados agora são gratuitos e podem ser adquiridos por qualquer pessoa. Os invasores estão cada vez mais se certificando de que seus sites de phishing tenham certificados autênticos para imitar sites legítimos. Stu Sjouwerman (CEO knowbe4 ) Devemos modificar nossa visão de como olhar um possível site malicioso, o fato de ter um https ou famoso selo (site blindado) não diz nada. surfando nos https Hoje o https virou uma grande aliada para fraudadores no qu...
Postar um comentário
Leia mais »

OSINT: Grupo Telegram MOVIMENTO ANTI-NOVO NORMAL

Se não bastasse um vírus que já fez milhões de vítimas, ainda é preciso enfrentar uma onda forte de negacionismo da ciência. Adeptos da desinformação tentam boicotar a vacinação e contrariam o isolamento social e o uso de máscara, fortemente recomendados pela comunidade médica. Um exemplo recente é a fala do deputado federal Eduardo Bolsonaro (PSL-SP) sobre “enfiar a máscara no rabo” (palavras dele) em um vídeo divulgado nas redes sociais. Lembrando que os dados coletados são públicos e não foi necessário invasão de dispositivo eletrônico para tal Blog Post. Nenhum animal (Gado ou Jacaré ) foi ferido durante a criação de tal blog post DIAS DE TREVAS Sob influência de Bolsonaro, cresce número de pessoas contrárias à obrigatoriedade das vacinas e que questionam sua eficácia ( Crédito: Eduardo Mtysiak ) O negacionismo é o ato de negar-se a acreditar em uma informação estabelecida em áreas como a ciência e a história. Os negacionistas são vistos como irracionais, pois não acreditam em cons...
Postar um comentário
Leia mais »