Microsoft alerta para novo ataque de roubo de dados que sabe se esconder bem
Por Felipe Gugelmin | Editado por Claudio Yuge | 02 de Agosto de 2021 às 23h00
A Microsoft Security Intelligence, braço de segurança da empresa de Seattle, emitiu na última sexta-feira (30) um alerta sobre uma nova campanha de roubo de dados (phishing) que se destaca pela capacidade de passar despercebida. Para enganar vítimas, o ataque mistura endereços de e-mail parecidos com os originais, nomes de emissor que imitam contatos conhecidos ou serviços que realmente existem.
- Metade das organizações não está preparada para ataques de phishing e ransomware
- Novo recurso do Gmail quer impedir que você seja vítima de phishing
- WhatsApp concentra quase 90% das mensagens de phishing do Brasil
Segundo a empresa, as mensagens usadas pelos criminosos responsáveis são identificáveis pelo uso repetido da palavra “referral” no endereço de e-mail original. Além disso, eles também costumam usar finais com o endereço “com[.]com”, em uma tentativa de enganar os alvos e fazê-los não perceber que o domínio usado não é legítimo.
“Os e-mails usam uma isca do SharePoint no nome de exibição e também na mensagem, que se apresenta como uma solicitação de ‘compartilhamento de arquivos’”, explica a Microsoft Security Intelligence. Segundo a empresa, as mensagens prometem “relatórios de equipe”, “bônus” e cotações de preço para chamar atenção, e sempre vêm acompanhadas por um link que leva ao roubo de dados.
O golpe usa dois URLs, sendo que o primeiro leva a uma página do Google que exige o login de usuário em um domínio AppSpot antes de chegar a outro endereço em que as credenciais do Office 365 são roubadas. A outra leva a um site comprometido do SharePoint, usado para dar legitimidade ao ataque e também exige o login — algo que, segundo a Microsoft, ajuda a escapar de sandboxes que podem proteger a vítima.
Ameaça difícil de detectar
“Isso, além de uma série de técnicas que evitam a detecção, torna essa campanha ainda mais furtiva do que o normal”, afirma a companhia, explicando que o uso de domínios legítimos do Google, Microsoft e Digital Ocean ajuda a ameaça a se disfarçar. No Twitter, ela afirmou que a ação ainda está ativa e pode usar diversos assuntos como isca para afetar alvos corporativos e usuários comuns.
A Microsoft publicou no Github a infraestrutura de referência usada nos e-mails de phishing, acompanhada de um código que permite checar se há na caixa de entrada uma mensagem comprometida. “Esta consulta corresponderá a instâncias em que o endereço de e-mail exibido corresponde ao domínio do destinatário e se unirá aos dados de URL do e-mail para facilitar a busca por sites potencialmente maliciosos de roubo de credenciais”, promete a empresa.