Campanha de phishing usa Office 365 contra servidores da Samsung, Adobe e Universidade de Oxford

Pesquisadores encontraram uma forma de ataque de pishing que utilizava nomes como Universidade de Oxford, Adobe e Samsung para atrair as vítimas e coletar dados de empresas armazenados nas contas do Microsoft Office 365. Segundo os pesquisadores da Check Point, os atacantes também estão projetando ataques sofisticados de phishing, representando nomes de famílias, a fim de ignorar os filtros de segurança e ganhar presença nas redes corporativas.

A adoção do Office 365 nas organizações aumentou significativamente nos últimos anos, atraindo a atenção de cibercriminosos, que lançam campanhas constantes de phishing especificamente para atacar esta plataforma. Como 90% dos ciberataques começam com uma campanha de phishing, o Office 365 é um alvo atraente para os hackers que trabalham para escapar das soluções de segurança continuamente implementadas.

Recentemente, pesquisadores de segurança da Check Point identificaram uma campanha de phishing do Office 365, “aparentemente pouco sofisticada”. Segundo os pesquisadores, os atacantes aproveitaram-se do mecanismo de redirecionamento do produto Adobe Campaign usando um domínio da Samsung para redirecionar as vítimas para um site de phishing com tema do Office 365. Os hackers valeram-se do fato de que o acesso a um domínio respeitável, como o da Samsung, não seria bloqueado por um software de segurança.

Para expandir sua campanha, os atacantes também comprometeram vários sites ao introduzir um script que imita o mesmo mecanismo oferecido pelo serviço de redirecionamento da Adobe. Investigações posteriores revelaram que os hackers por trás da campanha implementaram alguns outros truques interessantes para ocultar o kit de phishing e evitar a detecção em cada estágio do ataque.

Assim, os pesquisadores da Check Point descobriram que esta campanha de phishing do Office 365 usou serviços confiáveis para permitir um novo ataque. Os cibercriminosos invadiram o servidor de e-mail da Universidade de Oxford para enviar e-mails maliciosos às vítimas. De acordo com os pesquisadores, essas mensagens continham links redirecionados para um servidor Adobe usado pela Samsung no passado, permitindo que os atacantes aproveitassem a aparência de um domínio legítimo da Samsung para enganar as vítimas com sucesso. Dessa forma, as vítimas eram levadas a compartilhar suas credenciais de acesso do Office 365.

No início de abril de 2020, os pesquisadores da Check Point começaram a observar os e-mails enviados às vítimas intitulados “missed voice message” (“mensagem de voz perdida”) ou “Office 365 Voice Mail”. Aproximadamente 43% desses ataques atingiram empresas europeias, enquanto o restante foi observado na Ásia e no Oriente Médio. Os textos dos e-mails indicavam que uma mensagem de voz recebida estava no portal de voz da vítima, e solicitavam que os usuários clicassem em um botão que supostamente os levaria à sua conta do Office 365 para tomar medidas adicionais. Depois que as vítimas clicavam no botão, elas eram redirecionadas para uma página de phishing disfarçada de página de acesso do Office 365.

Esses e-mails descendiam de vários endereços pertencentes a subdomínios legítimos de diferentes departamentos da Universidade de Oxford. Os cabeçalhos de e-mail mostram que os atacantes encontraram uma maneira de explorar um dos servidores SMTP (protocolo de transferência de e-mail simples) de Oxford, um aplicativo que tem como principal objetivo enviar, receber e/ou retransmitir mensagens de saída entre remetentes e destinatários de e-mail. O uso de servidores SMTP Oxford legítimos permitiu que os atacantes passassem na verificação de reputação exigida pelas medidas de segurança do domínio do remetente.

Métodos sofisticados de ataque

No ano passado, os redirecionamentos abertos da Google e da Adobe foram usados por campanhas de phishing para adicionar legitimidade às URLs usadas nos e-mails de spam. Um redirecionamento aberto é uma URL em um site que pode ser usada por qualquer pessoa para redirecionar os usuários para outro site, explicam os pesquisadores. Nesse caso, os links no e-mail são desviados para um servidor Adobe usado anteriormente pela Samsung durante uma campanha de marketing de “Cyber Monday” de 2018.

Em outras palavras, o link incorporado no e-mail de phishing original faz parte da família de domínio confiável da Samsung que, sem saber, redireciona as vítimas para um site hospedado pelos atacantes. Ao usar o formato de link específico do produto Adobe Campaign e o domínio legítimo, esses atacantes aumentaram as chances de a mensagem ignorar as soluções de segurança de e-mail com base na reputação, listas maliciosas e padrões de URL.

“O que parecia ser uma clássica campanha de phishing do Office 365, acabou sendo uma obra-prima em termos de estratégia, pois adotaram marcas conhecidas e respeitáveis para evitar produtos de segurança. Atualmente, essa é uma técnica importante para estabelecer uma posição dentro de uma rede corporativa”, explica Lotem Finkelsteen, Diretor de Inteligência de Ameaças da Check Point.

De acordo com Finkelsteen, o acesso ao e-mail corporativo pode permitir que atacantes tenham acesso ilimitado às operações corporativas, como transações, relatórios financeiros, enviando e-mails internos a partir de uma fonte confiável, senhas e até endereços dos ativos em nuvem da empresa. “Para desencadear o ataque, o cibercriminoso teve que obter acesso aos servidores da Samsung e Universidade de Oxford, o que significa que ele teve tempo de entender o funcionamento interno, permitindo que ele passasse despercebido”, detalha Finkelsteen.

A Check Point informou à Universidade de Oxford, Adobe e Samsung sobre os detalhes e as descobertas dessa campanha de phishing para coletar dados de empresas armazenados nas contas do Microsoft Office 365.