Se abusa activamente de la plataforma de diseño de Canva en el phishing de credenciales

El sitio web de diseño gráfico gratuito Canva está siendo abusado por amenazas para crear y alojar páginas de destino complejas de phishing.

Canva es una plataforma de diseño gráfico que permite a los usuarios crear carteles, membretes, tarjetas de felicitación y otros medios digitales que luego se pueden descargar como una imagen, compartir como HTML con enlaces en los que se puede hacer clic o imprimir.

Como parte de su servicio, los diseñadores pueden generar URL compartibles para que amigos y colegas puedan ver su trabajo en canva.com.

Al compartir proyectos, un usuario que haga clic en el enlace verá una vista de página completa y podrá interactuar con cualquier enlace o módulo incrustado.

Se está abusando del hosting de Canva en estafas de phishing.

En un nuevo informe de la firma de ciberseguridad Cofense, los actores de amenazas utilizan cada vez más Canva para crear páginas de destino HTML alojadas que luego se utilizan para redirigir a las víctimas de phishing a formularios de inicio de sesión falsos.

Como puede ver en el correo electrónico no deseado a continuación, los actores de la amenaza realizan una campaña de phishing pretendiendo ser una notificación de entrega de eFax de SharePoint. En esta notificación se incluye un enlace a una página de destino de phishing alojada en canva.com.

Cuando una víctima de phishing hace clic en el enlace, se le dirige a una página HTML intermedia diseñada por Canva y alojada en Canva.com. Esta página de destino pretende ser información recibida por fax, con un enlace en el que se puede hacer clic que indica que se puede utilizar para revisar el documento de fax.

Al hacer clic en el enlace, se dirige a la víctima a la página de inicio de phishing final, donde se le solicita que inicie sesión para ver el documento.

Como es de esperar, los atacantes le robarán las credenciales de inicio de sesión que ingrese en esta página.

¿Por qué usar Canva?

Puede resultar confuso por qué las campañas de phishing utilizan Canva para alojar sus páginas en lugar de Google Docs, Sheets o incluso Dropbox.

La razón probable es que Google y Dropbox tienen un largo historial de lidiar con amenazas maliciosas y tienen mejores sistemas para detectarlas y eliminarlas.

Canva, por otro lado, no está diseñado para ser una plataforma de alojamiento, sino más bien una plataforma para crear contenido que generalmente no está asociado con un comportamiento malicioso.

Debido a esto, Cofense descubrió que eran mucho menos eficientes para encontrar amenazas alojadas y las páginas de destino tienden a permanecer activas durante períodos más largos.

"Es probable que Canva sea consciente del problema, elimina los archivos maliciosos a medida que los encuentra, pero como concluyó nuestra investigación, muchos de estos archivos maliciosos permanecieron en la plataforma alojada de Canva durante horas e incluso días. Sitios, como como Google, donde los piratas informáticos han alojado tradicionalmente sus correos electrónicos de phishing, parecen ser mucho más rápidos para detectarlos y eliminarlos, que es otra razón por la que las amenazas han comenzado a aprovechar la plataforma Canva ", explica Cofense en su informe. .

Además, al usar Canva como página de redireccionamiento intermedio, cuando se elimina la página de destino de phishing final, los atacantes pueden actualizar sus diseños de Canva para que apunten a una nueva URL final de phishing para que su campaña no se interrumpa. .