Hackers usam servidores e serviços legítimos para aplicar golpes com Office 365

Recursos do Office 365 e servidores de redirecionamento e e-mail legítimos foram utilizados em uma sofisticada campanha de phishing que tinha como objetivo ganhar acesso a servidores privados de empresas e roubar informações confidenciais. A operação, revelada pelos pesquisadores da Check Point Software Technologies, também envolveu a invasão a um servidor de e-mail da Universidade de Oxford, no Reino Unido, de onde partiram muitas das mensagens fraudulentas.

A ideia dos criminosos é que, ao utilizar nomes e ferramentas reconhecidas, conseguiriam evadir a detecção por softwares de segurança, o que acabou se mostrando verdade, de acordo com as pesquisas da Check Point. Além da instituição de ensino, serviços de redirecionamento legítimos do Google e da Adobe também foram utilizados, assim como um domínio legítimo da Samsung, utilizado em uma antiga campanha de publicidade realizada no final de 2018.

A campanha, iniciada em abril de 2020, começa com um e-mail fraudulento indicando às vítimas a existência de mensagens de voz perdidas em suas contas do Office 365. O uso de um e-mail da Universidade da Oxford faz sentido, sobretudo se considerarmos o foco dos ataques: empresas europeias constituíram 43% dos alvos do golpe, com o restante sendo observado na Ásia e no Oriente Médio. Um botão clicável levava as vítimas à página na qual o golpe era aplicado.

O link incorporado utilizava um sistema de redirecionamento da Adobe, voltado para campanhas de publicidade, a partir de publicidade realizada pela Samsung para promover a Cyber Monday de 2018, a segunda-feira de descontos em eletrônicos que sucede a Black Friday nos Estados Unidos. A partir daí, os usuários eram levados a páginas sob o controle dos hackers, onde deveriam fazer o login com a conta do Office 365, propiciando, assim, o furto de suas credenciais de e-mail e hospedagem de arquivos na nuvem.

A Check Point destaca o fato de a pesquisa ter iniciado devido a seu caráter pouco sofisticado, mas logo ela se provou, nas palavras dos especialistas, uma “obra-prima” em termos de estratégia. O uso sofisticado de soluções legítimas de redirecionamento e hospedagem faz com que tanto as mensagens de phishing quanto o acesso aos próprios sites maliciosos passassem livres de detecção por softwares de proteção, além de, claro, darem maior aparência de legitimidade à fraude. “Essa é uma técnica importante para estabelecer posição dentro de uma rede corporativa”, explica Lotem Finkelsteen, diretor de inteligência de ameaças da empresa de segurança.

De acordo com o especialista, o acesso à caixa corporativa de correio permite a visualização de documentos confidenciais, mais senhas e acesso a ativos da empresa. Além disso, da mesma forma que aconteceu com os servidores da Oxford e da Samsung, o comprometimento dessas contas pode levar a novas tentativas de phishing, tanto contra executivos de escalão mais alto na própria companhia comprometida quanto em parceiros ou contatos comerciais.

Os pesquisadores indicam o uso de soluções de segurança em e-mails e serviços de nuvem como um caminho para proteção da infraestrutura interna. Mais do que isso, a ideia é que os colaboradores e usuários tomem cuidado com suas credenciais, evitando inserir seus dados quando uma tela de login aparecer de forma estranha e usando senhas diferentes, por exemplo, para serviços de correio e acesso a arquivos armazenados. Dessa forma, caso uma das credenciais seja comprometida, o restante da cadeia não é violada.

A Check Point disse ter entrado em contato com todas as empresas que tiveram seus serviços de e-mail comprometidos. Em resposta com o Canaltech, a Adobe disse ter trabalhado diretamente com os usuários atingidos, resolvendo problemas e indicando melhores práticas de segurança. Por outro lado, a companhia disse que a segurança de seus produtos não foi comprometida diretamente pela operação dos criminosos, que apenas manipularam URLs já existentes para realizar a campanha de phishing.

A reportagem segue aguardando o retorno dos outros nomes envolvidos na exploração.

Fonte: Check Point Research