banner senha segura
senhasegura

Campanha de phishing aproveitou SMTP da Oxford University

Campanha de captura de credenciais do Office 365 usou também servidores da Samsung e da Adobe
Da Redação
18/06/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Pesquisadores da Check Point descobriram uma campanha de phishing projetada especificamente para coletar dados em contas do Microsoft Office 365. Para evitar a detecção por software de segurança, a campanha adotou nos e-mails nomes de organizações respeitáveis para burlar os filtros de proteção: Universidade de Oxford, Adobe e Samsung.

Os atacantes dessa vez aproveitaram-se do mecanismo de redirecionamento do Adobe Campaign, usando um domínio da Samsung para levar as vítimas a um site de phishing com o tema do Office 365. Eles se valeram do fato de que o acesso a um domínio como o da Samsung não seria bloqueado por um software de segurança. A Check Point informou à Universidade de Oxford, Adobe e Samsung sobre os detalhes e as descobertas dessa campanha.

Para expandir a campanha, eles comprometeram vários sites, introduzindo um script que imita o mecanismo oferecido pelo serviço de redirecionamento da Adobe. Investigações da Check point revelaram que os atacantes implementaram alguns outros truques para ocultar o kit de phishing e evitar a detecção.

Veja isso
Check Point anuncia mais integração a AWS e inclui Kubernetes
GRU adota proteção Check Point

Um deles foi invadir o servidor de e-mail da Universidade de Oxford para usar o SMTP e enviar e-mails maliciosos às vítimas. Essas mensagens continham links redirecionados para um servidor Adobe utilizado pela Samsung no passado, permitindo o aproveitamento da aparência de um domínio legítimo da empresa para enganar as vítimas. Depois disso elas eram levadas a um site onde tinham de digitar e assim compartilhar suas credenciais de acesso ao Office 365.

“O que parecia ser uma clássica campanha de phishing do Office 365, acabou sendo uma obra-prima em termos de estratégia”, comentou Lotem Finkelsteen, diretor de Inteligência de Ameaças da Check Point. Segundo ele, o acesso ao correio corporativo, como o da Universidade, pode permitir que os atacantes consigam acesso ilimitado às operações corporativas: “Para desencadear o ataque, o cibercriminoso teve de obter acesso aos servidores da Samsung e Universidade de Oxford, o que significa que ele teve tempo de entender o funcionamento interno, para passar despercebido”, detalha Finkelsteen.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório