Campanha de phishing usa Office 365 contra servidores da Samsung, Adobe e Universidade de Oxford

Os investigadores da Check Point® Software Technologies Ltd. revelaram uma sofisticada campanha de phishing lançada para roubar dados empresariais armazenados em contas Microsoft Office 365. Para evitar a deteção dos softwares de segurança, a campanha adotou nomes respeitáveis de organizações para ignorar os filtros de proteção. Neste caso, os nomes usados foram os da Universidade de Oxford, da Adobe e Samsung.

Nos últimos anos, a adoção do Office 365 no setor empresarial aumentou significativamente. A sua popularidade atraiu a atenção de cibercriminosos, os quais lançam campanhas constantes de phishing especificamente para atacar esta plataforma. Como 90% dos ciberataques começam com uma campanha de phishing, o Office 365 é um alvo atrativo para os atacantes que trabalham para escapar das soluções de segurança implementadas.

Recentemente, uma campanha de phishing do Office 365, aparentemente pouco sofisticada, chamou a atenção dos investigadores da Check Point. Os atacantes aproveitaram-se do mecanismo de redirecionamento do produto Adobe Campaign usando um domínio da Samsung para redirecionar as vítimas para um site de phishing com tema do Office 365. Os hackers aproveitaram-se do facto do acesso a um domínio respeitável, como o da Samsung, não seria bloqueado por um software de segurança.

Para expandir esta campanha, os atacantes também comprometeram vários sites ao introduzir um script que imita o mesmo mecanismo oferecido pelo serviço de redirecionamento da Adobe. As investigações posteriores revelaram que os atacantes por trás desta campanha implementaram alguns outros truques interessantes para ocultar o kit de phishing e evitar a deteção em cada estágio do ataque.

Assim, os investigadores da Check Point descobriram que esta campanha de phishing do Office 365 usou serviços de confiança para permitir um novo ataque. Os cibercriminosos invadiram o servidor de e-mail da Universidade de Oxford para enviar e-mails maliciosos às vítimas. Essas mensagens continham links redirecionados para um servidor Adobe usado pela Samsung no passado, permitindo aos atacantes aproveitarem a aparência de um domínio legítimo da Samsung para enganar as vítimas com sucesso. Por fim, as vítimas foram levadas a um link fraudulento para partilhar as suas credenciais de acesso do Office 365.

Sequestro do servidor de e-mail da Universidade de Oxford

No início de abril de 2020, os invesigadores da Check Point começaram a observar os e-mails enviados às vítimas com o título “missed voice message” (“mensagem de voz perdida”) ou “Office 365 Voice Mail”. Aproximadamente 43% desses ataques atingiram empresas europeias, enquanto o restante foi observado na Ásia e Médio Oriente. Os textos dos e-mails indicavam que uma mensagem de voz recebida estava no portal de voz da vítima, e solicitavam que os utilizadores clicassem num botão que supostamente os levaria à sua conta do Office 365 para tomar medidas adicionais. Depois das vítimas clicarem no botão, elas eram redirecionadas para uma página de phishing disfarçada de página de acesso do Office 365.

A maioria dos e-mails eram originários de vários endereços pertencentes a subdomínios legítimos de diferentes departamentos da Universidade de Oxford. Os cabeçalhos de e-mail mostram que os atacantes encontraram uma maneira de explorar um dos servidores SMTP (protocolo de transferência de e-mail simples) de Oxford, uma aplicação que tem como principal objetivo enviar, receber e/ou retransmitir mensagens de saída entre remetentes e destinatários de e-mail. O uso dos servidores de SMTP legítimos de Oxford permitiu que os atacantes passassem na verificação de reputação exigida pelas medidas de segurança do domínio do remetente.

Redirecionamentos do URL fiável da Samsung

No ano passado, os redirecionamentos abertos do Google e da Adobe foram usados por campanhas de phishing para adicionar legitimidade a URLs usadas nos e-mails de spam. Um redirecionamento aberto é uma URL num site que pode ser usada por qualquer pessoa para redirecionar os utilizadores para outro site. Neste caso, os links no e-mail são desviados para um servidor Adobe usado anteriormente pela Samsung durante uma campanha de marketing de “Cyber Monday” de 2018. Noutras palavras, o link incorporado no e-mail de phishing original faz parte da família do domínio fiável da Samsung que, sem saber, redireciona as vítimas para um site hospedado pelos atacantes. Ao usar o formato de link específico do produto Adobe Campaign e o domínio legítimo, esses atacantes aumentaram as possibilidades da mensagem ignorar as soluções de segurança de e-mail com base na reputação, listas negras e padrões de URL.

“O que parecia ser uma clássica campanha de phishing do Office 365, acabou por ser uma obra-prima em termos de estratégia, pois adotaram marcas conhecidas e respeitáveis para evitar produtos de segurança. Atualmente, essa é uma técnica importante para estabelecer uma posição dentro de uma rede corporativa”, explica Lotem Finkelsteen, Manager of Threat Intelligence da Check Point.

De acordo com Finkelsteen, o acesso ao correio corporativo pode permitir aos atacantes ter acesso ilimitado às operações corporativas, como transações, relatórios financeiros, enviando e-mails internos a partir de uma fonte confiável, senhas e até endereços dos ativos numa cloud empresarial. “Para desencadear o ataque, o cibercriminoso teve que obter acesso aos servidores da Samsung e da Universidade de Oxford, o que significa que ele teve tempo de entender o funcionamento interno, permitindo que ele passasse despercebido”, explica Finkelsteen.

A Check Point informou à Universidade de Oxford, Adobe e Samsung sobre os detalhes e as descobertas desta sofisticada campanha de phishing para coligir dados de empresas armazenados nas contas do Microsoft Office 365.

Os investigadores da Check Point listam as três principais dicas de segurança para os utilizadores de Office 365:

1. Usar passwords diferentes para o seu acesso à aplicação na cloud, pois dessa forma os seus ativos estarão protegidos quando um deles for exposto.
2. Usar soluções de segurança na cloud e de e-mail. O facto destas campanhas prosperarem prova que a solução de segurança nativa é fácil de ser atacada. Usar soluções de segurança na cloud e de e-mail para remover ameaças que entram no seu e-mail e proteger a sua infraestrutura cloud.
3. Não inserir dados de acesso e passwords quando não é esperado fazê-lo. Muitas vezes, é uma solicitação fraudulenta para capturar esses dados.