Geral 3min de Leitura - 17 de dezembro de 2020

Ataques recentes de spear-phishing vieram de contas “legítimas”

Tela de notebook exibindo página de login com o reflexo de um homem de capuz.

This post is also available in: Português

Domínios de fraudadores foram criados para roubar credenciais do Office 365, e impressionam pela relativa autenticidade – que dribla tradicionais sistemas de segurança.

A famosa frase “as aparências enganam” ganhou uma nova versão no mundo da segurança digital. Foi por conta de uma campanha de spear-phishing que usa mensagens que parecem vir de empresas legítimas, e tem como alvo usuários corporativos com o objetivo de roubar credenciais do Microsoft Office 365.

Os cibercriminosos parecem ter comprometido centenas de contas autênticas para ajudar a criar e-mails com aparência realista, dizem os pesquisadores da Abnormal Security – que criaram o relatório. Em um dos exemplos, as mensagens maliciosas representavam o eFax, um serviço de fax online, e as mensagens incluíam notificações personalizadas de entrega de documentos para convencer as vítimas a clicarem no falso conteúdo.

Os e-mails de phishing geralmente contêm um link incorporado que leva o usuário a páginas de spear-phishing do Microsoft Office 365 nunca vistas antes. Para piorar, estão hospedadas em sites de publicação digital verdadeiros, como Joom, Weebly e Quip.

O “segredo” está na seguinte tática: se as ferramentas de segurança detectarem um e-mail de phishing que faz parte da campanha, os fraudadores implantam um script que mudará o endereço do remetente falsificado para que os ataques possam continuar. É como colocar em um desconhecido uma máscara com o rosto de alguém que você conhece; de tão perfeita que é a máscara, acaba conseguindo entrar. Se houver suspeita a respeito da máscara, esta é trocada por outra com o rosto de outro conhecido – e novamente consegue entrar.

O uso generalizado de centenas de contas comprometidas e URLs nunca antes vistas indica que a campanha foi projetada para contornar as soluções tradicionais de inteligência de ameaças – acostumadas a permitir contas conhecidas, mas comprometidas – na caixa de entrada.

Parece, mas não é

Muitos dos e-mails de phishing nessa campanha representam empresas e serviços legítimos, e se originam de contas comprometidas. Imagine que você receba sempre e-mails de fulano@empresa.com.br. Depois de um tempo, esse e-mail é invadido por cibercriminosos, que agem sem deixar praticamente nenhum rastro. Aí então eles começam a lançar as campanhas maliciosas através desse e-mail, que já é conhecido por inúmeras pessoas – e por isso não é notado pela maioria dos sistemas de segurança.

No caso do eFax, os crackers usam cópias perfeitas dos logotipos e das artes da empresa. Além disso, a mensagem contém detalhes sobre como os usuários podem trocar de plano e também contatos via e-mail para obter ajuda. O uso de contas de e-mail comprometidas para enviar essas mensagens é uma forma de contornar ferramentas e filtros de segurança, como gateways de e-mail seguros.

Mesmo que pareça contra-intuitivo da parte dos invasores enviar uma notificação do eFax através de uma conta comprometida, deve-se reconhecer que é uma tática inteligente. Contudo, é problemática para as empresas que forem alvo, porque os ataques de comprometimento contornarão as soluções tradicionais baseadas em inteligência de ameaças. “Funciona bem porque os endereços de e-mail comprometidos são conhecidos e confiáveis, e possuem esse status com base em comunicações anteriores e que de fato aconteceram”, dizem os pesquisadores da Abnormal Security.

Link Malicioso

Se um e-mail do phishing for aberto, o usuário verá um link do tipo “Visualizar documentos” embutido na mensagem. Isso leva a um domínio hospedado na página inicial do Joom, Weebly ou Quip, e pede-se então para a futura vítima clicar em outro link.

Ao clicar nesse segundo link, a pessoa é direcionada para o domínio de phishing final. Aí, surge uma mensagem pedindo ao usuário para inserir seu login e senha do Office 365, e então ambos são coletados pelos cibercriminosos.

Para piorar, os pesquisadores descobriram outra campanha de phishing que também foi projetada para roubar credenciais do Office 365. Esses e-mails pareciam ter sido originados do departamento de TI da empresa da vítima, e falam sobre a migração para uma nova versão do Outlook.

Em novembro, a equipe de Inteligência de Segurança da Microsoft alertou os usuários do Office 365 sobre uma campanha de phishing que parecia estar colhendo as credenciais das vítimas. Agora, novos alertas devem vir – avisando sobre essas táticas que se tornam cada vez mais inteligentes.

This post is also available in: Português