Os grupos de ameaças estão cada vez mais recorrendo aos sites de dados peer-to-peer do InterPlanetary File System (IPFS) para hospedar seus ataques de phishing porque a natureza descentralizada do sistema de compartilhamento significa que o conteúdo malicioso é mais eficaz e mais fácil de hide.
Analistas de ameaças do fornecedor de segurança cibernética Trustwave disseram esta semana que o InterPlanetary File System (IPFS) está se tornando o “novo foco de phishing” depois de ver um aumento no número de e-mails de phishing que contêm URLs IPFS.
Ao mesmo tempo, Atif Mushtaq, fundador e diretor de produtos da empresa anti-phishing SlashNext, disse que sua empresa está detectando phishing hospedado em ipfs.io, cloudflare-ipfs.com e outros sistemas de fornecedores.
“Esses tipos de ataques fazem parte da evolução dos hackers usando domínios confiáveis para hospedar seus ataques de phishing”, disse Mushtaq. “O benefício de usar domínios confiáveis é que eles são muito difíceis de detectar com detecção de ameaças baseada em reputação, que está sendo amplamente usada por organizações para proteger os usuários.”
Pesquisadores da Trustwave em uma postagem no blog esta semana escreveram que viram mais de 3.000 e-mails nos últimos 90 dias contendo URLs de phishing que usaram IPFS, acrescentando que “é evidente que o IPFS está se tornando cada vez mais uma plataforma popular para sites de phishing”. Phishing continua sendo o flagelo das empresas e o principal meio para os cibercriminosos comprometerem os sistemas dos usuários e abrirem as portas para cargas maliciosas. A empresa de segurança cibernética Proofpoint, em um relatório no início deste ano, disse que 83% das mais de 4.000 pessoas pesquisadas disseram que suas empresas sofreram pelo menos um ataque de phishing baseado em email em 2021 e que 78% das organizações viram ataques de ransomware baseados em email.
A próxima grande coisa
O uso do IPFS é uma maneira de os invasores tornarem seu conteúdo de phishing mais persistente, mais facilmente distribuído e mais difícil de detectar. A maior parte do tráfego de dados pela Internet usa HTTP, que usa uma abordagem cliente-servidor centralizada, de acordo com a Trustwave. IPFS – que significa InterPlanetary File System – é diferente.
Criado em 2015 como um sistema P2P distribuído para compartilhamento de arquivos, sites, aplicativos e dados, o IPFS oferece uma abordagem descentralizada para a web .
Isso significa que “o conteúdo está disponível por meio de pares localizados em todo o mundo, que podem estar transferindo informações, armazenando-as ou fazendo as duas coisas”, escreveram os pesquisadores da Trustwave. “O IPFS pode localizar um arquivo usando seu endereço de conteúdo em vez de sua localização. Para poder acessar um conteúdo, os usuários precisam de um nome de host de gateway e do identificador de conteúdo (CID) do arquivo.”
Os arquivos compartilhados são distribuídos para outros sistemas que operam essencialmente como nós em um sistema de arquivos em rede. Esses arquivos podem ser acessados quando necessário e são recuperados de qualquer outro nó na rede que tenha o conteúdo. Em uma rede centralizada, se um servidor estiver inativo ou um link for quebrado, os dados não estarão acessíveis.
Com IPFS, os dados são persistentes – e isso inclui qualquer conteúdo malicioso armazenado no rede. Mesmo que o conteúdo malicioso seja removido em um nó, provavelmente ainda estará disponível em outros nós. Esse conteúdo também é difícil de descobrir mesmo em uma rede P2P legítima porque não há um identificador de recurso uniforme (URI) para localizar e bloquear conteúdo malicioso, escreveram os pesquisadores, acrescentando que “com persistência de dados, rede robusta e pouca regulamentação, o IPFS é talvez uma plataforma ideal para os invasores hospedarem e compartilharem conteúdo malicioso.”
Trustwave mostrou exemplos de como os cibercriminosos estão abusando de blockchain, Google e serviços de armazenamento em nuvem para executar seus ataques de phishing IPFS.
Como funciona?
Os ataques começam como outras campanhas de phishing, com os criminosos usando técnicas de engenharia social para persuadir as vítimas a clicar em links IPFS maliciosos em e-mails de phishing feitos para parecer mensagens legítimas de empresas como Azure ou DHL.
“Uma das principais razões pelas quais o IPFS se tornou um novo playground para phishing é que muitos serviços de hospedagem na web, armazenamento de arquivos ou nuvem agora oferecem IPFS serviços”, escreveram os pesquisadores. “Isso significa que há mais flexibilidade para os phishers na criação de novos tipos de URLs.”
Ao mesmo tempo, “os spammers podem facilmente camuflar suas atividades hospedando seu conteúdo em um site legítimo serviços de hospedagem ou usar várias técnicas de redirecionamento de URL para ajudar a impedir os scanners usando reputação de URL ou análise automatizada de URL”, escreveram.
Mushtaq da SlashNext disse que armazenar conteúdo HTML não é um conceito novo. Existe desde 2007, quando botnets como Mega-d e Srizbi armazenavam seus sites de spam em botnets, que ele descreveu como redes P2P personalizadas.
“No entanto, a vantagem naqueles dias era que as pessoas não se importaria de clicar em sites somente http e hospedados em IP”, disse ele. “Agora um site HTTP será sinalizado pelo navegador imediatamente, entãonão tem outra opção a não ser usar gateways confiáveis como Cloudflare.”
Darryl MacLeod, vCISO da LARES Consulting, disse que o uso do IPFS “representa uma evolução significativa no phishing” e que as organizações precisam ajustar suas defesas de acordo. Uma maneira é usar o DNS sinkholing para redirecionar o tráfego e bloquear o acesso a sites de phishing baseados em IPFS. Eles também podem usar filtros da Web para bloquear o acesso a esses sites.
MacLeod alertou que os cibercriminosos continuarão a desenvolver seus métodos de ataque.
“No futuro, os phishers podem começar a usar métodos para replicar sites, como o uso de tabelas de hash distribuídas”, disse ele. máquinas.”
