Los cibercriminales han intensificado sus operaciones de phishing al incorporar herramientas generativas de inteligencia artificial para crear réplicas sofisticadas de sitios web gubernamentales, marcando una evolución significativa en tácticas de ingeniería social.
Una campaña reciente dirigida a los ciudadanos brasileños demuestra cómo los actores de amenaza están explotando plataformas con IA como AI de Deepsite y Blackbox AI para construir duplicados convincentes de los portales gubernamentales oficiales, específicamente que se hace pasar por el Departamento de Tráfico del Estado de Brasil y los sitios web del Ministerio de Educación.
Flujo de víctimas para un sitio web de phishing del Ministerio de Educación brasileño (Fuente – ZScaler)
La aparición de esta metodología de phishing mejorada con AI representa un cambio paradigmático de los kits de phishing tradicionales hacia técnicas de replicación del sitio web más sofisticadas y automatizadas.
Estos actores maliciosos emplean estrategias de envenenamiento de la optimización de motores de búsqueda para elevar artificialmente sus páginas fraudulentas en los resultados de búsqueda, asegurando que las víctimas encuentren a los sitios engañosos al buscar servicios gubernamentales legítimos.
Los vectores de ataque principales de la campaña incluyen clasificaciones de búsqueda impulsadas y una distribución de correo electrónico potencialmente dirigida, creando múltiples vías para la participación de las víctimas.
Investigadores de Zscaler identificado Esta campaña a través del análisis exhaustivo de dominios sospechosos y el examen del código fuente, revelando firmas distintivas de contenido generado por IA.
El impacto financiero se centra en pérdidas individuales relativamente modestas de aproximadamente R $ 87.40 (aproximadamente $ 16 USD) por víctima, recaudada a través del sistema de pago instantáneo de Brasil, aunque el efecto acumulativo entre numerosas víctimas representa una generación sustancial de ingresos ilícitos.
Las operaciones de phishing se dirigen a dos servicios gubernamentales principales: solicitudes de licencias de conducir a través del Departamento de Térmano y Oportunidades de Empleo del Estado a través de la Junta de Trabajo del Ministerio de Educación.
Flujo de víctimas para un Sitio de Phishing de Estado de Estado brasileño (Fuente – ZSCALER)
Ambas campañas siguen flujos de víctimas notablemente similares, comenzando con la recopilación de datos de los números de identificación de contribuyentes Cadastro de Pessoas Físicas (CPF) de Brasil y progresando a través de la recopilación de información por etapas diseñadas para generar credibilidad y confianza.
Indicadores técnicos de la infraestructura de phishing generada por IA
El análisis técnico revela varios marcadores distintivos que distinguen estos sitios de phishing generados por IA de las metodologías de actores de amenaza convencionales.
El examen del código fuente expone la utilización consistente de las ondas de cola para el estilo y las bibliotecas de Fontawesome alojadas en la red de entrega de contenido de Cloudflare, lo que representa un desvío de la arquitectura típica del kit de phishing.
La estructura HTML demuestra firmas claras de generación de IA a través de comentarios de código excesivamente explicativos destinados a la orientación del desarrollador en lugar de la implementación de producción:–
Más agentes de educación Goberna de la amenaza Los actores usan técnicas de envenenamiento de SEO para aumentar sus páginas de phishing en los resultados de búsqueda (fuente – ZScaler)
Las implementaciones de JavaScript contienen comentarios instructivos que reconocen explícitamente la funcionalidad incompleta, como se demuestra en esta muestra de código:–
function interpretación (consulta) {console.log (‘Buscando:’, consulta); // En una implementación real, esto haría que una llamada de llamada API (`/search? Q = $ {EncodeUriceMponent (consulta)}`)}
La infraestructura de phishing incorpora sistemas sofisticados de validación de API que verifican los números de CPF presentados y pueblan automáticamente la información de las víctimas, creando una ilusión de conectividad legítima de la base de datos del gobierno.
Este mecanismo de validación de backend mejora la credibilidad al mostrar datos personales precisos asociados con los números de identificación proporcionados, potencialmente obtenidos de violaciones de datos anteriores o API comprometidas.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
