Campanha de Phishing Mira Usuários de Celular com PDFs Maliciosos

Uma nova campanha de phishing está visando usuários de celular ao se passar pelo Serviço Postal dos Estados Unidos (USPS) e usando documentos PDF falsos para roubar informações sensíveis. Pesquisadores de segurança em Zimperium’s zLabs detalharam hoje essa campanha, que utiliza táticas avançadas de engenharia social e um método novo para esconder links maliciosos dentro de PDFs.

A campanha funciona enviando mensagens SMS contendo anexos PDF aparentemente legítimos. Esses PDFs parecem inofensivos, mas incluem links ocultos que redirecionam os usuários para sites de phishing. As vítimas são solicitadas a fornecer informações pessoais, como seu nome, endereço, e-mail e número de telefone.

Ao explorar a confiança que os usuários depositam nos PDFs como documentos seguros e profissionais, os invasores conseguiram evadir a detecção de muitos sistemas de segurança tradicionais.

Os pesquisadores observam que os PDFs são um elemento básico na comunicação empresarial, valorizados por sua compatibilidade e capacidade de manter a formatação. No entanto, essa popularidade também os torna um alvo primordial para os cibercriminosos.

PDFs maliciosos podem incorporar links, scripts ou outros conteúdos prejudiciais que são difíceis de detectar, especialmente em dispositivos móveis, onde os usuários normalmente visualizam arquivos com escrutínio limitado.

A investigação da Zimperium revelou uma operação em larga escala envolvendo mais de 20 arquivos PDF maliciosos e 630 páginas de phishing, impactando usuários em mais de 50 países. A campanha emprega uma técnica de evasão única para obscurecer links maliciosos, burlando muitas ferramentas de segurança de endpoint.

Ao contrário dos métodos padrão que usam links visíveis, esses PDFs escondem URLs dentro de sua estrutura, tornando o ataque mais difícil de ser detectado, conforme observado na análise da Zimperium.

Quando as vítimas clicam nos links embutidos, são direcionadas para sites falsos do USPS projetados para parecer autênticos. Essas páginas de phishing solicitam detalhes pessoais sob o pretexto de resolver problemas de entrega. Sem defesas avançadas contra ameaças móveis, tais ataques podem levar a violações de dados, roubo de credenciais e perda financeira.

Esta campanha destaca a crescente necessidade de soluções de segurança avançadas para proteger contra ataques de phishing cada vez mais sofisticados que visam dispositivos móveis.