Um elaborado e bastante incomum campanha de phishing está falsificando notificações de eFax e usando uma conta comercial comprometida do Dynamics 365 Customer Voice para atrair as vítimas para que desistam de suas credenciais por meio de páginas do microsoft.com.
Atores de ameaças atingiram dezenas de empresas por meio da campanha amplamente divulgada, que é visando o Microsoft 365 usuários de diversos setores - incluindo energia, serviços financeiros, imóveis comerciais, alimentos, manufatura e até fabricação de móveis, revelaram pesquisadores do Cofense Phishing Defense Center (PDC) em um post de blog publicado na quarta-feira.
A campanha usa uma combinação de táticas comuns e incomuns para induzir os usuários a clicar em uma página que parece levá-los a uma pesquisa de feedback do cliente para um serviço de eFax, mas, em vez disso, rouba suas credenciais.
Os invasores personificam não apenas o eFax, mas também a Microsoft, usando conteúdo hospedado em várias páginas do microsoft.com em vários estágios do esforço de vários estágios. O golpe é uma das várias campanhas de phishing que a Cofense observou desde a primavera que usam uma tática semelhante, diz Joseph Gallop, gerente de análise de inteligência da Cofense.
“Em abril deste ano, começamos a ver um volume significativo de e-mails de phishing usando links de pesquisa ncv[.]microsoft[.]com incorporados do tipo usado nesta campanha”, disse ele ao Dark Reading.
Combinação de Táticas
Os e-mails de phishing usam uma isca convencional, alegando que o destinatário recebeu um eFax corporativo de 10 páginas que exige sua atenção. Mas as coisas divergem do caminho comum depois disso, Nathaniel Sagibanda do Cofense PDC explicou no postagem de quarta-feira.
O destinatário provavelmente abrirá a mensagem esperando que ela esteja relacionada a um documento que precisa de uma assinatura. “No entanto, não é isso que vemos quando você lê o corpo da mensagem”, escreveu ele.
Em vez disso, o e-mail inclui o que parece ser um arquivo PDF anexado e sem nome que foi enviado de um fax que inclui um arquivo real - um recurso incomum de um e-mail de phishing, de acordo com Gallop.
“Embora muitas campanhas de phishing de credenciais usem links para arquivos hospedados e algumas usem anexos, é menos comum ver um link incorporado se passando por um anexo”, escreveu ele.
O enredo se complica ainda mais na mensagem, que contém um rodapé indicando que foi um site de pesquisa – como aqueles usados para fornecer feedback do cliente – que gerou a mensagem, de acordo com a postagem.
Simulando uma pesquisa com o cliente
Quando os usuários clicam no link, eles são direcionados para uma imitação convincente de uma página de solução eFax renderizada por uma página do Microsoft Dynamics 365 que foi comprometida por invasores, disseram os pesquisadores.
Esta página inclui um link para outra página, que parece levar a uma pesquisa de voz do cliente da Microsoft para fornecer feedback sobre o serviço eFax, mas, em vez disso, leva as vítimas a uma página de login da Microsoft que exfiltra suas credenciais.
Para aumentar ainda mais a legitimidade nesta página, o agente da ameaça foi tão longe a ponto de incorporar um vídeo de soluções eFax para detalhes de serviços falsificados, instruindo o usuário a entrar em contato com “@eFaxdynamic365” com qualquer dúvida, disseram os pesquisadores.
O botão “Enviar” na parte inferior da página também serve como confirmação adicional de que o agente da ameaça usou um modelo real de formulário de feedback do Microsoft Customer Voice no golpe, acrescentaram.
Os invasores então modificaram o modelo com “informações falsas de eFax para induzir o destinatário a clicar no link”, o que leva a uma falsa página de login da Microsoft que envia suas credenciais para um URL externo hospedado por invasores, escreveu Sagibanda.
Enganando um Olho Treinado
Embora as campanhas originais fossem muito mais simples - incluindo apenas informações mínimas hospedadas na pesquisa da Microsoft - a campanha de falsificação do eFax vai além para reforçar a legitimidade da campanha, diz Gallop.
Sua combinação de táticas de vários estágios e personificação dupla pode permitir que as mensagens passem por gateways de e-mail seguros, além de enganar até mesmo os usuários corporativos mais experientes que foram treinados para detectar golpes de phishing, observa ele.
“Apenas os usuários que continuam a verificar a barra de URL em cada estágio ao longo de todo o processo identificariam isso como uma tentativa de phishing”, diz Gallop.
Com efeito, uma pesquisa da empresa de segurança cibernética Vade também divulgado quarta-feira descobriu que personificação da marca continua a ser a principal ferramenta que os phishers usam para enganar as vítimas para que cliquem em e-mails maliciosos.
Na verdade, os invasores assumiram a identidade da Microsoft com mais frequência em campanhas observadas no primeiro semestre de 2022, descobriram os pesquisadores, embora o Facebook continue sendo a marca mais personificada em campanhas de phishing observadas até agora neste ano.
O jogo de phishing continua forte
Até o momento, os pesquisadores não identificaram quem pode estar por trás do golpe, nem os motivos específicos dos invasores para roubar credenciais, diz Gallop.
O phishing em geral continua sendo uma das maneiras mais fáceis e mais usadas para os agentes de ameaças comprometerem as vítimas, não apenas para roubar credenciais, mas também para espalhar software malicioso, pois o malware transmitido por e-mail é significativamente mais fácil de distribuir do que ataques remotos, de acordo com o relatório Vade .
De fato, esse tipo de ataque teve aumentos mês a mês no segundo trimestre do ano e, em seguida, outro impulso em junho que empurrou “os e-mails de volta aos volumes alarmantes não vistos desde janeiro de 2022”, quando Vade viu mais de 100 milhões de e-mails de phishing em distribuição.
“A relativa facilidade com que os hackers podem realizar ataques cibernéticos punitivos por e-mail torna o e-mail um dos principais vetores de ataque e uma ameaça constante para empresas e usuários finais”, escreveu Natalie Petitto, da Vade, no relatório. “E-mails de phishing personificam as marcas em que você mais confia, oferecendo uma ampla rede de vítimas em potencial e um manto de legitimidade para os phishers disfarçados de marcas.”
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
