Pesquisadores da Microsoft descobriram que cibercriminosos falsificam endereços de e-mail de remetentes de arquivos em uma campanha engenhosa que pode passar despercebida por sistemas de defesa nativos
Diversos cibercriminosos estão usando endereços de e-mail falsificados e iscas do Microsoft SharePoint em uma nova campanha de phishing que, de acordo com especialistas, se destacar por ser “mais sorrateira do que o normal”, uma vez que pode passar despercebida pelas proteções usuais e por sistemas de segurança nativos dos dispositivos (isto é, aqueles que já vêm pré-instalados).
O objetivo da campanha divulgada recentemente é enganar usuários do compartilhador de arquivos para que eles forneçam suas credenciais, que depois poderão ser aproveitadas em ataques mais graves, descobriram pesquisadores da Microsoft.
O grupo de agentes de segurança filiados ao Microsoft Security Intelligence descobriram, também, que a campanha visa sobretudopara organizações que usam o Microsoft Office 365. Detalhes foram revelados em um tweet no fim de julho.
Detalhes da campanha baseada em SharePoint
As falsificações características da campanha exibem endereços de remetentes que contêm nomes de usuário e domínios-alvo relevantes, de corporações visadas, bem como nomes de fachada “que imitam serviços legítimos para tentar escapar de filtros de segurança de e-mail”, disseram os pesquisadores.
Além disso, os cibercriminosos enviam e-mails que “se fazem passar pelos serviços do Sharepoint no nome de exibição e na mensagem enviada no corpo dos e-mails”, disseram os pesquisadores. “Esta campanha está ativa com vários temas sendo usados como bait”, eles tuitaram.
Por exemplo: o e-mail geralmente alerta um destinatário sobre uma solicitação de compartilhamento de arquivo de alguém que parece ser um colega de sua empresa, que pode ter perdido o arquivo em questão, e inclui um link para uma página de phishing. Para parecer autêntica, a mensagem indica que o arquivo contém algum tipo de conteúdo comercial legítimo, como relatórios de equipe, arquivos estratégicas ou planilhas orçamentárias, observaram os pesquisadores.
Se um usuário “morde a isca”, ele acaba sendo direcionado para uma segunda página, que exige que ele faça login no Office 365 com suas credenciais legítimas, completa a Microsoft.
Por que o SharePoint?
Devido ao seu amplo uso entre muitos clientes corporativos, a plataforma de colaboração do SharePoint é um alvo popular para os agentes de ameaças não é de hoje.
Mais do que isso, o serviço de compartilhamento de arquivos, quando combinado a estratégias de falsificação, é uma maneira particularmente eficaz de induzir as vítimas a revelar credenciais, observam agentes de segurança.
“Quando se trata de spoofing de e-mail, sistemas de segurança podem considerar que, se o e-mail recebido veio de uma entidade confiável, de um domínio considerado seguro, então o e-mail está ‘limpo’; mas, infelizmente, quaisquer links existentes no e-mail podem acabar infectando você com malware”, comentou uma especialista em cibersegurança em uma postagem sobre o tema.
Sinais suspeitos que colaboradores e executivos devem levar em consideração
Apesar da astúcia desta última campanha, existem alguns sinais bastante significativos de que os e-mails não são confiáveis, de acordo com a Microsoft.
Por um lado, os endereços do remetente original usam vários domínios de nível superior, incluindo o domínio com[.]com, que é popularmente usado por campanhas de phishing para spoofing e typosquatting, pesquisadores observaram no Twitter.
Outras pistas para a intenção maliciosa da campanha são encontradas no uso de URLs que levam as vítimas potenciais à página de phishing para inserir suas credenciais, pois os invasores usam dduas URLs com cabeçalhos HTTP malformados.
A URL de phishing principal é um recurso de armazenamento do Google que direciona para um domínio AppSpot exigindo que o usuário faça login “antes de finalmente servir outro domínio de conteúdo com uma página de phishing do Office 365”, disseram os pesquisadores.
A segunda URL usada na campanha é encontrada nas configurações de notificação. Ela leva a um site do SharePoint comprometido, “que os invasores usam para adicionar legitimidade ao ataque”, de acordo com a Microsoft.
Ambas as URLs exigem que vítimas em potencial façam login para avançar para a página final, “contornando muitos sistemas de proteção” no caminho, disseram os pesquisadores.
Por fim, os agentes de segurança forneceram uma string de consulta no GitHub, que pode ser executada através do Microsoft 365 Defender para sinalizar qualquer e-mail da campanha que pode ter passado por outros gateways.
Mantenha sua empresa segura e seus colaboradores protegidos. Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!
