Análise profunda da campanha de phishing de hospitalidade mostra ameaça global
Comentários editoriais e adicionais por Tricia Howard
Resumo executivo
Os pesquisadores da Akamai continuaram a examinar uma campanha ativa e sofisticada de phishing que visa websites de hospitalidade e seus clientes.
A campanha é uma ameaça global, com uma quantidade relevante de tráfego de DNS visto na Suíça, Hong Kong e Canadá. Também vimos alguns várias consultas na Itália, Argentina e Cingapura.
Embora a campanha tenha sido inicialmente considerada ativa apenas desde setembro de 2023, o registro de domínio mostra nomes de domínio sendo registrados e consultados no início de junho de 2023.
Introdução
Apesar dos anos de conscientização e discussão, o phishing continua sendo a principal ameaça virtual para organizações e indivíduos. A crescente complexidade e a segmentação com grande foco que podem definir essas campanhas são impressionantes. Vimos essas caraterísticas por nós mesmos na infraestrutura por trás de um golpe de brindes de fim de ano, golpes de distribuição de criptomoedase uma campanha específica de hospitalidade que foi descoberta em setembro de 2023.
Após nossa análise inicial do segundo nível dessa campanha de hospitalidade, ficou claro que precisamos nos aprofundar mais.
Nossa visão exclusiva do cenário online,
a Akamai vê o tráfego de consulta de DNS em uma escala muito grande em um grande número de países em todo o mundo. Muitos de nossos clientes que implantam resolvedores de DNS da Akamai optam por compartilhar registros anônimos conosco, que podemos então usar para realizar pesquisa e análise de ameaças, e tomar medidas para proteger os usuários finais. Essa visão exclusiva do cenário online nos dá a base para uma compreensão mais profunda dessa campanha de phishing.
Nesta postagem de blog, examinaremos mais detalhadamente as consultas de DNS, o tráfego e os nomes de domínio totalmente qualificados (FQDNs) associados aos IOCs descobertos como parte da campanha.
Clusters de nome de domínio
A análise de dados mais profunda começa com nossa robusta tabela de estatísticas de FQDN interno, que lista cada FQDN que foi observado no tráfego de DNS por nossa equipe. Essa tabela fornece um contexto adicional nos FQDNs, como informações de carimbo de data/hora e metadados adicionais. Isso permite uma análise mais profunda e precisa quando estamos nos aprofundando em algo específico, como fizemos nessa campanha.
Descobrindo padrões
Começamos nossa análise com o primeiro IP que nossos pesquisadores de ameaças descobriram: 91.215.40[.]30. Podemos ver que isso pertence ao ASN AS57724, que parece ser de origem russa.
Como sabemos que a campanha está ativa desde pelo menos o início de setembro de 2023, primeiro filtramos essa tabela para FQDNs que foram resolvidos para 91.215.40[.]30 nos últimos meses (Tabela 1).
FQDN |
Cluster |
|---|---|
service10.wakkofkznmartyxa3244[.]site |
wakk |
booking.reservation-accept[.]info |
dashed |
booking.com-id2834440[.]info |
.com-id |
service10.wakkofkznmartyxa3244[.]site |
wakk |
booking.id17825117[.]date |
.id |
www.yandex.sberbank.com-id409712[.]com |
.com-id |
booking.id301628951[.]date |
.id |
booking.acquire-transaction[.]cloud |
dashed |
booking.com.id60157261[.]date |
.com.id |
static.wakkofkznmartyxa3244[.]site |
wakk |
booking.com-id2435142[.]info |
.com-id |
service10.wakkofkznmartyxa3244[.]site |
wakk |
booking.check-request[.]info |
dashed |
service10.wakkofkznmartyxa3244[.]site |
wakk |
pay.avito.avito.avito.com-id20341[.]info |
.com-id |
Tabela. 1: Amostra de FQDNs que foram resolvidos para 91.215.40[.]30
Embora alguns desses FQDMs sigam algumas técnicas de combosquatting, como a adição da palavra-chave "reserva", também existem alguns que ininteligíveis para um ser humano, como "wakkofkznmartyxa3244".
Como você pode ver na Tabela 1, há alguns padrões bastante claros nos FQDNs. Agora, podemos agrupar os FQDNs em clusters com base na técnica de combosquatting ou, no caso dos ininteligíveis, com base em uma amostra do texto do FQDN. Identificamos cinco clusters: wakk, dashed, .id, .com-id e.com.id.
Usando os padrões
Depois de identificarmos esses clusters, projetamos padrões de regex para analisá-los ainda mais. Isso nos permitiu filtrar nossos dados e produzir estatísticas agregadas para cada um dos clusters. Também juntamos dados WHOIS para os domínios dentro dos clusters (Tabela 2).
Cluster. |
Tamanho do cluster. |
Popularidade |
Primeiro registro |
Primeira visualização |
Última visualização |
Exemplo de subdomínio |
Exemplo de domínio |
|---|---|---|---|---|---|---|---|
wakk |
1 |
10x |
14 de junho de 2023 |
15 de junho de 2023 |
ainda em curso |
service10. |
wakkofkznmartyxa3244[.]site |
dashed |
Mais de 10 |
1x |
16 de julho de 2023 |
18 de julho de 2023 |
3 de setembro de 2023 |
booking. |
reservation-accept[.]info |
.id |
Mais de 10 |
1x |
17 de agosto de 2023 |
18 de agosto de 2023 |
ainda em curso |
booking. |
id11853502[.]date |
.com-id |
Mais de 10 |
1x |
6 de setembro de 2023 |
7 de setembro de 2023 |
ainda em curso |
avito.sber. |
com-id02349[.]info |
.com.id |
Mais de 10 |
1x |
6 de setembro de 2023 |
8 de setembro de 2023 |
ainda em curso |
booking.com. |
id60157261[.]date |
Tabela 2: Estatísticas agregadas para clusters FQDN
Para entender a Tabela 2, precisamos definir cada coluna.
Tamanho do cluster: O número de nomes de domínio que vemos em cada cluster; cada cluster (exceto o cluster "wakk") contém dezenas de nomes de domínio diferentes que parecem semelhantes e seguem o mesmo padrão
Popularidade: A contagem relativa de consultas que cada um desses clusters está vendo
Primeiro registro: A data de registro mais antiga de todos os domínios dentro do cluster de acordo com os dados WHOIS
Primeira visualização: A data em que observamos a primeira consulta de DNS a qualquer um dos domínios dentro do cluster de acordo com nossos registros de consulta DNS internos; Notamos que cada um dos domínios surgiu em nosso radar apenas um ou dois dias depois de terem sido registrados pela primeira vez
Última visualização: A data em que vimos pela última vez o cluster aparecer no tráfego de DNS
Exemplo de subdomínio: Um exemplo de um subdomínio dentro do cluster que foi consultado
Exemplo de domínio: Um único nome de domínio aleatório de dentro do cluster
O que dizem os dados
Cada um dos domínios surgiu em nosso radar apenas um ou dois dias depois de terem sido registrados pela primeira vez. O primeiro que observamos foi o cluster "wakk", que foi registrado em junho de 2023.
O domínio "wakk" está apresentando o maior número de consultas de DNS de longe: aproximadamente 2,5 vezes mais consultas de DNS do que todos os outros quatro clusters combinados. Esse contraste pode indicar que ele está sendo usado para redirecionamento ou como um hub de algum tipo.
Considerando que esta campanha tem várias camadas de alvos (sendo o primeiro o hotel, o segundo sendo os hóspedes desse hotel), é preocupante ver que todos os quatro clusters ainda estão ativos na data da publicação desta postagem do blog, com exceção do cluster "dashed". Esse cluster específico tinha as datas de registro mais antigas, mas paramos de ver as consultas a esse cluster em 3 de setembro de 2023.
Eliminar gradualmente o cluster que cria o maior risco
A partir desses dados, inferimos que originalmente o cluster "dashed" estava sendo usado, mas o agente de ameaças decidiu encerrar o cluster e continuar com os outros três clusters. O fato de que o tráfego para o cluster "dashed" parou em 3 de setembro e que os nomes de domínio mais antigos nos clusters .com-id e .com.id foram registrados em 6 de setembro adiciona credibilidade a essa ideia. O cluster "dashed" também tinha a composição de domínio de golpe mais "tradicional", o que poderia ter aumentado o risco de detecção por caçadores de ameaças ou outros.
Embora o cluster esteja inativo, as consultas continuam entrando pelos clusters .id, .com-id e .com.id.
O cluster "dashed" atualmente usa duas ou três palavras do seguinte dicionário conectado através por um traço e usa as TLDs .com, .date, .info, .cloud e .site:
acceptacquire
approve
booking
check
confirm
confirmation
guest
process
request
reserve
reservation
safe
secure
transaction
Os três outros clusters podem ser capturados aproximadamente com os seguintes padrões regex aplicados aos FQDNs, embora você provavelmente queira filtrar ainda mais os resultados por um intervalo de endereços IP.
- cluster .id
.*\.id\d{4,9}\.(com|top|date|email|info|site|cloud)$ cluster .com-id
.*\.com-id\d{4,9}\.(com|top|date|email|info|site|cloud)$- cluster .com.id
.*\.com\.id\d{4,9}\.(com|top|date|email|info|site|cloud)$
Expansão para outros endereços IP
A análise acima abordou especificamente os FQDNs que se resolvem para 91.215.40[.]30. No entanto, é possível (ou provável) que haja mais endereços IP compondo esta campanha. Usando os padrões de regex que projetamos para capturar os diferentes clusters, consultamos a tabela de estatísticas de FQDN bruto para descobrir se existem outros IPs envolvidos.
Encontramos clusters idênticos resolvendo para 91.215.40[.]22, que fazem parte do mesmo ASN como 91.215.40[.]30. É essa análise que levou esse endereço IP a fazer parte da Lista IOC em nossa postagem original.
Uma ameaça global
Do ponto de vista regional, vemos a maioria do tráfego de DNS originada da Suíça, Hong Kong e Canadá. Também temos muitas consultas na Itália, Argentina e Cingapura. A natureza global desta campanha de phishing é outra demonstração da elaborada infraestrutura que compõe esses golpes. Isso também torna essa campanha mais difícil de acompanhar, pois não visa a um país ou região específica.
Embora haja tráfego de DNS geograficamente específico, não vemos nenhum domínio de nível superior (TLDs) de código de país, como .ru. Observamos apenas os TLDs genéricos, como .com, .top, .date, .email, .info, .site e .cloud.
No nível do subdomínio, vemos vários nomes de marcas sendo usados de maneira imprópria. Às vezes, o TLD da marca é:
O subdomínio de primeiro nível, como em booking.com.id60157261[.]date
O início do nome de domínio, como em booking.com-id2435142[.]info
Ausente, como em booking.id17825117[.]date
Podemos resumir esses três métodos como combinações de técnicas de levelsquatting e combosquatting .
Além de booking.com, vemos uma série de marcas que são comumente vistas na Rússia, como avito, sber, sberbank e yandex. Isso é interessante porque o uso dessas marcas russas comuns só parece fazer sentido se a campanha estiver visando os usuários russos, a menos que haja alguma psicologia reversa em jogo aqui, e que a fraude seja exatamente o que os agentes de ameaça querem que acreditemos.
Análise de WHOIS
Vejamos alguns dados WHOIS para nomes de domínio dentro dos clusters que encontramos.
Descobrimos que a maioria dos domínios tem NameSilo como registrar. O contato mais comum listado nos dados WHOIS desses domínios é PrivacyGuardian. PrivacyGuardian faz parte do NameSilo. Parece que os agentes mal-intencionados registraram esses nomes de domínio por meio do NameSilo e, em seguida, usaram o recurso PrivacyGuardian para manter sua identidade oculta.
Também encontramos nomes de domínio registrados por meio de outros registradores. Entre eles, não surpreendentemente, a maioria dos detalhes de contato do WHOIS está vazia ou inclui nomes aleatórios.
Além disso, encontramos vários nomes de domínio dentro de cada cluster que receberam consultas de DNS, mas (de acordo com os dados WHOIS) não foram nunca registrados de fato. Parece-nos que o malware que está sendo instalado nos dispositivos dos funcionários do hotel está tentando acessar endereços de comando e de controle e, ao mesmo tempo, alcançar uma variedade de domínios até que uma conexão bem-sucedida seja estabelecida.
Conclusão
Usar apenas dados de DNS e WHOIS nos ajudou a obter insights de alto nível sobre uma campanha de phishing ativa no momento. A campanha parece ter um alcance global e atualmente envolve cinco grupos diferentes de nomes de domínio espalhados por sete TLDs. Identificamos padrões que podem ser usados para capturar esses clusters. Por meio desses padrões, conseguimos confirmar que existem atualmente dois endereços IP envolvidos nesta campanha: 91.215.40[.]30 e 91.215.40[.]22.
Notamos que algumas das táticas enganosas da campanha envolvem o uso de técnicas de cybersquatting, como levelsquatting e combosquatting. Além disso, descobrimos que os agentes de ameaça podem estar tentando fazer parecer que apenas os usuários russos estão sendo alvo usando um grande número de marcas russas nesta campanha.
Fique atento
Você pode encontrar nossa pesquisa de segurança em tempo real seguindo-nos no Twitter.
