Eine neue Phishing-Kampagne wurde entdeckt, die versucht, leichtgläubige Personen dazu zu verleiten, ihre sensiblen persönlichen und Zahlungsinformationen an Cyberkriminelle weiterzugeben. Die Cybersicherheitsforscher von Netskope Threat Labs haben ihre Ergebnisse detailliert dargelegt und darauf hingewiesen, dass das Ziel dieser Kampagne hauptsächlich Menschen sind, die online nach PDF-Dateien suchen – sei es Bücher, Dokumente, Diagramme oder ähnliche Dateien.

Die Kriminellen würden eine gefälschte .PDF-Datei im Webflow-Inhaltsauslieferungsnetzwerk (CDN) hosten, die die Opfer dann über Suchmaschinen finden könnten. Die PDF-Datei würde den Opfern dann ein Bild anzeigen, das einem CAPTCHA ähnelt, jedoch nur ein Link zu einer Phishing-Seite ist. Diese Seite beherbergt wiederum ein echtes Cloudflare Turnstile CAPTCHA. Das Vorhandensein eines CAPTCHA auf einer Phishing-Seite dient zwei Zwecken: Der erste ist, dem Betrug Legitimität zu verleihen, und der zweite ist, verschiedene Web-Sicherheitsschutzmaßnahmen besser zu umgehen.

Benutzer, die das echte CAPTCHA abschließen, werden anschließend auf eine Seite mit einem „Download“-Button weitergeleitet, der nach dem Drücken ein Popup anzeigt. In diesem Popup werden die Opfer aufgefordert, ihre persönlich identifizierbaren Informationen (PII) sowie Kreditkartendaten bereitzustellen, die dann an die Angreifer weitergeleitet werden. Die Opfer, die ihre Kreditkartendetails eingeben, erhalten dann eine gefälschte Fehlermeldung, in der angegeben wird, dass die Zahlung nicht akzeptiert wurde.

Netskope sagt, dass die Kampagne seit der zweiten Hälfte des Jahres 2024 läuft und seitdem „hunderte“ von Netskope-Kunden und „tausende“ von Benutzern betroffen hat. Die Forscher gaben nicht an, wofür die Kriminellen die gestohlenen Karten verwenden, außer dass es sich um „finanziellen Betrug“ handelt. Meistens verwenden Kriminelle Kreditkarten jedoch, um Anzeigenraum für Malvertising-Kampagnen zu kaufen oder Online-Geschenkkarten zu erwerben, die schwer zurückverfolgbar sind.