Hackers tentam roubar dados de login de contas da Microsoft usando um golpe inteligente do Google Drive
Algumas credenciais de logon são mais valiosas que outras e, não surpreendentemente, os ataques de phishing direcionados a contas importantes tendem a ser muito mais sofisticados e bem pensados. Em janeiro, os pesquisadores da Check Point depararam com uma campanha de phishing, sobre a qual escreveram apenas na terça-feira, e nos mostraram o quão difícil era detectar os ataques bem projetados.
Índice
Os golpistas tentaram roubar credenciais do Office 365 dos usuários com um ataque de phishing inteligente
Os emails foram enviados aos funcionários de organizações que usam o Office 365. Primeiro, a mensagem redirecionaria a vítima para um arquivo PDF hospedado na nuvem que continha um link, supostamente levando a um documento compartilhado pelo qual o funcionário está interessado. O link foi redirecionado para o que parece uma página de logon do SharePoint que pediu ao usuário para entrar. Eles poderiam fazê-lo com suas credenciais do Office 365 ou com o ID da organização. Qualquer que seja a opção escolhida, um pop-up com um formulário de login convincente da Microsoft seria exibido e todas as informações inseridas nele seriam enviadas diretamente para os criminosos.
Se você examinar as capturas de tela do Check Point, verá que os erros gramaticais e ortográficos que costumamos associar a ataques de phishing não são vistos em lugar algum. A formatação é praticamente a mesma que a original e, durante toda a operação, os usuários podem facilmente se enganar por realmente estarem prestes a entrar nas contas da Microsoft. Além disso, depois de inserir suas credenciais de login, eles são redirecionados para um relatório genuíno de uma empresa de consultoria global, o que pode tornar tudo ainda mais crível. Essa não é a única coisa que faz esse ataque se destacar do resto.
Os phishers usaram extensivamente os serviços em nuvem do Google
O primeiro PDF que as vítimas viram foi hospedado no Google Drive. A página de representação do SharePoint à qual ele vinculou também havia sido carregada nos serviços de hospedagem em nuvem do Google, assim como o próprio formulário de login malicioso.
Obviamente, ver uma página de login da Microsoft hospedada na infraestrutura de propriedade do Google não é normal, mas os golpistas sabiam que poucos usuários tendem a prestar muita atenção à barra de endereços quando inserem suas credenciais de login. Eles também sabiam que aqueles que o fazem têm menos probabilidade de suspeitar se virem um domínio que reconhecem.
Ao usar os serviços do Google, os phishers também conseguem evitar um exame minucioso, tanto das ferramentas automatizadas quanto dos administradores de sistema que monitoram as atividades dos funcionários. Em suma, o uso da nuvem do Google tornou o ataque muito mais provável de ter sucesso.
O ataque foi organizado por um grupo de phishers experientes
O nível de sofisticação demonstrado pelos phishers não deve ser tão surpreendente, considerando a quantidade de experiência que eles têm. Logo após descobrir o ataque, os pesquisadores notificaram o Google e as páginas maliciosas foram retiradas. Antes de ficarem offline, no entanto, os especialistas da Check Point vasculharam o código-fonte e perceberam que, embora as páginas estivessem hospedadas na nuvem do Google, a maioria dos recursos era carregada no prvtsmtp [.] Com, um domínio externo.
O domínio estava apontando para um servidor ucraniano que foi usado em várias campanhas de phishing. Primeiro, ele hospedava as páginas maliciosas e, posteriormente, fazia parte da infraestrutura durante ataques que utilizavam os serviços em nuvem do Microsoft Azure.
Os pesquisadores da Check Point ajudaram a pôr fim ao ataque que descobriram em janeiro, mas é improvável que eles parem o experiente grupo de phishers que estão por trás dele para sempre. Somente o tempo dirá qual será o próximo passo dos cibercriminosos. Enquanto isso, os funcionários de todo o mundo precisam ter um cuidado especial onde e quando inserem suas credenciais de login.
