Microsoft alerta para novo ataque de roubo de dados que sabe se esconder bem

Microsoft alerta para novo ataque de roubo de dados que sabe se esconder bem

Por Felipe Gugelmin | Editado por Claudio Yuge | 02 de Agosto de 2021 às 23h00
Divulgação/Mohamed Hassan/Pixabay

A Microsoft Security Intelligence, braço de segurança da empresa de Seattle, emitiu na última sexta-feira (30) um alerta sobre uma nova campanha de roubo de dados (phishing) que se destaca pela capacidade de passar despercebida. Para enganar vítimas, o ataque mistura endereços de e-mail parecidos com os originais, nomes de emissor que imitam contatos conhecidos ou serviços que realmente existem.

Segundo a empresa, as mensagens usadas pelos criminosos responsáveis são identificáveis pelo uso repetido da palavra “referral” no endereço de e-mail original. Além disso, eles também costumam usar finais com o endereço “com[.]com”, em uma tentativa de enganar os alvos e fazê-los não perceber que o domínio usado não é legítimo.

“Os e-mails usam uma isca do SharePoint no nome de exibição e também na mensagem, que se apresenta como uma solicitação de ‘compartilhamento de arquivos’”, explica a Microsoft Security Intelligence. Segundo a empresa, as mensagens prometem “relatórios de equipe”, “bônus” e cotações de preço para chamar atenção, e sempre vêm acompanhadas por um link que leva ao roubo de dados.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

O golpe usa dois URLs, sendo que o primeiro leva a uma página do Google que exige o login de usuário em um domínio AppSpot antes de chegar a outro endereço em que as credenciais do Office 365 são roubadas. A outra leva a um site comprometido do SharePoint, usado para dar legitimidade ao ataque e também exige o login — algo que, segundo a Microsoft, ajuda a escapar de sandboxes que podem proteger a vítima.

Ameaça difícil de detectar

“Isso, além de uma série de técnicas que evitam a detecção, torna essa campanha ainda mais furtiva do que o normal”, afirma a companhia, explicando que o uso de domínios legítimos do Google, Microsoft e Digital Ocean ajuda a ameaça a se disfarçar. No Twitter, ela afirmou que a ação ainda está ativa e pode usar diversos assuntos como isca para afetar alvos corporativos e usuários comuns.

A Microsoft publicou no Github a infraestrutura de referência usada nos e-mails de phishing, acompanhada de um código que permite checar se há na caixa de entrada uma mensagem comprometida. “Esta consulta corresponderá a instâncias em que o endereço de e-mail exibido corresponde ao domínio do destinatário e se unirá aos dados de URL do e-mail para facilitar a busca por sites potencialmente maliciosos de roubo de credenciais”, promete a empresa.

Fonte: ZDNetMicrosoft Security Intelligence/Twitter

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.