Contas falsas de parceiros da Microsoft são usadas em ataques de phishing

Um esquema fraudulento de roubo de dados de e-mail, calendários e contas corporativas se aproveitava de contas registradas como parceiras da Microsoft para desenvolver apps usados em ataques de phishing. A campanha, que circulou em dezembro do ano passado, tinha empresas do Reino Unido e Irlanda como foco, sendo desmantelada a partir do banimento de múltiplos perfis usados nos ataques.

• 5 dicas para manter os e-mails corporativos mais seguros
• Quatro medidas urgentes para aumentar a segurança de sua empresa

A cadeia de comprometimento foi descoberta pela empresa de cibersegurança Proofpoint, que passou seus achados à Microsoft para que ações fossem tomadas. No esquema, os bandidos se registravam junto à gigante como se fossem companhias reais, interessadas em fazer parte de seu programa de parcerias para desenvolvimento de apps e tecnologias de cloud computing; ao receberem certificação, passavam a criar softwares maliciosos que eram enviados às vítimas por e-mail.

Para ganhar acesso aos dados, eles usavam a tecnologia de autenticação OAuth; em vez de solicitar credenciais, algo que poderia levantar um alerta de segurança, os apps solicitavam permissão para acesso a e-mails, calendários e outros recursos. Em softwares legítimos, é um tipo de integração comum, mas neste caso, a ideia era a realização de possíveis ações de espionagem, furto de informações para ataques contra clientes ou extorsão contra as empresas vitimadas.

Ajudava a mascarar o ataque o fato de empresas certificadas pela Microsoft carregarem um selo azul em meio às suas informações, que incluem também registros na plataforma Azure. No caso desta campanha, as informações de cadastro eram manipuladas pelos criminosos para que se parecessem com empresas reais, com nomes e e-mails similares, aumentando ainda mais a chance de fazer vítimas.

Segundo a Proofpoint, há indícios de ataques direcionados envolvendo a campanha, já que três contas verificadas, cada uma com seu próprio aplicativo, foram usadas em ataques contra a mesma infraestrutura corporativa. O alerta não acompanhou a identificação das atingidas, mas indica que o foco estava sobre os setores de finanças e marketing, enquanto a busca era pelo acesso a perfis de executivos de alto escalão.

Os especialistas também apontam que essa é uma mudança no método usual de ataques desse tipo, com os bandidos deixando de tentar invadir contas de desenvolvedores certificados para realizarem registros diretos. Depois, eram desenvolvidos apps que prometiam auxiliar na marcação de reuniões ou implementar logins únicos nas contas, com o acesso OAuth sendo usado para comprometer as informações.

Em resposta, a Microsoft disse ter banido os perfis fraudulentos dias depois de ter recebido o relato da Proofpoint. Além disso, informou a implementação de medidas adicionais de segurança para evitar abusos em seu programa de parcerias, enquanto vai entrar em contato com as empresas acessadas para auxiliar na verificação dos comprometimentos registrados.

Fonte: Proofpoint, Microsoft