Campanhas de phishing visam executivos seniores pelo Office 365

Campanhas de phishing visam executivos seniores pelo Office 365. As principais vítimas incluem serviços financeiros e escritórios de advocacia.

Uma campanha de phishing altamente direcionada atingiu executivos de alto nível em mais de 150 empresas, roubando documentos confidenciais e listas de contatos, segundo a empresa de segurança Group-IB.

A campanha, que tem como alvo os usuários do Office 365, parece estar em execução desde meados de 2019 e rastrear atacantes baseados na Nigéria que usam ferramentas de ataque criadas por desenvolvedores de língua vietnamita, relata o Group-IB de Singapura. Cerca de metade das organizações vítimas identificadas são empresas de serviços financeiros, com escritórios de advocacia e empresas imobiliárias que fazem parte do restante, aponta o relatório da 

“A campanha resultou no comprometimento de 156 oficiais de alto escalão em centros financeiros globais e regionais como EUA, Canadá, Alemanha, Reino Unido, Holanda, Hong Kong, Cingapura e outros locais“, afirma o Group-IB em um novo relatório de pesquisa .

O site Bank Info Security, relata que o ataque foi chamado de campanha de ataque “PerSwaysion“, porque os ataques costumam usar o Microsoft Sway e outras ferramentas baseadas na nuvem para tentar convencer os usuários a visitar páginas de phishing com aparência legítima e inserir suas credenciais de logon.

Os invasores abusam do Microsoft Sway para criar páginas de phishing com aparência realista. (Fonte: Grupo-IB)

A empresa de segurança diz ter descoberto a campanha enquanto investigava um incidente de segurança em uma empresa asiática não identificada no início deste ano e estava tentando notificar as vítimas, complementa o Bank Info Security. Também foi criado um site para as organizações enviarem um endereço de email e verificarem se está em alguma das listas de destinos recuperadas pela empresa de segurança.

“O Group-IB tentou entrar em contato com todas as vítimas e conseguiu alcançar a maioria das empresas afetadas pelo PerSwaysion até agora“, disse Feixiang He, analista de inteligência de ameaças do Group-IB, ao Information Security Media Group.

Ataque em 3 Estágios

O Group-IB diz que os invasores por trás desta campanha usam ferramentas legítimas da Microsoft baseadas na nuvem – incluindo os serviços Sway, SharePoint e OneNote da Microsoft – para fazer com que seus esforços de phishing na conta de usuário do Office 365 pareçam legítimos. A campanha baseia-se em um esforço de engenharia social em três etapas:

1. Anexo em PDF: ele foi projetado para se parecer com uma notificação legítima de compartilhamento de arquivos do Office 365, com um link “leia agora”, que, se clicado, vai para o estágio dois.
2. Página de compartilhamento de arquivos com aparência legítima: os usuários que clicam em “ler agora” são levados para uma página que se supõe ser um site legítimo de compartilhamento de arquivos do Microsoft Office 365, criado usando o Microsoft Sway, SharePoint ou OneNote para parecer mais legítimo às ferramentas de segurança . “No entanto, esta é uma página de apresentação especialmente criada que usa da exibição sem borda padrão do Sway“, diz o Group-IB.
3. Site de phishing: essa página leva a um site de phishing disfarçado para parecer uma página de logon único da Microsoft da era de 2017. “Aqui a vítima recebe um número de série exclusivo pelo kit de phishing, que serve como uma técnica rudimentar de impressão digital“, diz o Group-IB. Se um usuário inserir suas credenciais corporativas do Office 365 na página, ele será roteado para um servidor de dados separado e um email será enviado imediatamente aos atacantes. “Esse email extra é usado como um método de notificação em tempo real para garantir que os invasores reajam às credenciais recém-obtidas“.

Alvo: Usuários do Office 365

Os usuários do Office 365 continuam sendo o principal alvo dos atacantes, geralmente por meio de campanhas de phishing. “A falta de autenticação multifatorial e o suporte à autenticação básica estão sustentando sua exposição“, diz o especialista em resposta a incidentes David Stubley, que chefia a empresa de testes de segurança e consultoria 7 Elements , sediada em Edimburgo, na Escócia .

De acordo com o sexto Relatório de resposta a incidentes de segurança de dados divulgado pelo escritório de advocacia BakerHostetler esta semana, com base em mais de 1.000 incidentes investigados em 2019, 38% de todos os incidentes de segurança – incluindo violações de dados – que foram analisados ​​devido a ataques de phishing. Desses, 31% envolveram aquisições de contas do Office 365.

Os invasores também podem tentar obter acesso a um grande número de contas usando ataques de preenchimento de credenciais ou listas de dicionário de senhas fracas, e muitas empresas não conseguem registrar seus ambientes “O365” para ajudá-los a detectar violações, ou como uma violação começou ou quais dados pode ter sido roubado, diz Stubley

Fraudadores da Nigéria e da África do Sul

Quem está por trás desses ataques? “Nossa pesquisa mostra que o atual kit de phishing PerSwaysion é um produto de desenvolvedores de língua vietnamita, enquanto as atividades de proliferação e phishing de campanhas são realizadas por diferentes grupos de atores de ameaças“, diz Feixiang He.

Seundo o Bank Info Secutiy, a atividade mais antiga conhecida ligada a esses invasores data de julho de 2017 e um grupo de atores de ameaças que operam na Nigéria e na África do Sul, supostamente liderados por um indivíduo nigeriano que usa o apelido Sam e especializado não apenas em ataques de phishing, mas também em golpes de compras on-line. 

Depois de descobrir a campanha PerSwaysion, o Group-IB diz a versão mais antiga do kit de phishing que conseguiu encontrar datas a partir de 9 de agosto de 2019.

“A versão atual do kit possui vários recursos intrigantes, o que nos permitiu estabelecer que foi desenvolvido por indivíduos de língua vietnamita: o módulo de validação de entrada do usuário (VeeValidate_) … usado no código inclui apenas a localização em vietnamita“, embora a ferramenta pode suportar 48 idiomas diferentes, diz Feixiang He. VeeValidate é uma ferramenta para a estrutura da interface do usuário do Vue JavaScript.

Fonte:  Bank Info Security

Veja também:

• Governo chinês instala câmeras em residências para monitorar população
• MP 959/2020 Prorroga a LGPD para 03 de maio de 2021
• Infection Monkey Guardicore utiliza técnicas de MITRE ATT&CK
• Campanhas de eCrime identificadas capitalizando com o COVID-19
• Milhares de e-Mails e senhas da OMS vazados na Internet
• Hackers exploram Zero Day em Firewalls do Sophos XG
• Maioria dos ataques já não usa mais malware aponta relatório
• Microsoft lança patch para Office e Paint 3D para impedir ataques 3D
• Malware TrickMo bypassa 2FA em dispositivos Android
• Malware Android sequestra contas do Facebook
• Guardicore explica vulnerabilidade nível 10.0 da VMware
• Mais de 500.000 contas Zoom vendidas em fóruns de hackers na dark web