Campanha de phishing aproveitou SMTP da Oxford University

Campanha de captura de credenciais do Office 365 usou também servidores da Samsung e da Adobe
Da Redação
18/06/2020

Pesquisadores da Check Point descobriram uma campanha de phishing projetada especificamente para coletar dados em contas do Microsoft Office 365. Para evitar a detecção por software de segurança, a campanha adotou nos e-mails nomes de organizações respeitáveis para burlar os filtros de proteção: Universidade de Oxford, Adobe e Samsung.

Os atacantes dessa vez aproveitaram-se do mecanismo de redirecionamento do Adobe Campaign, usando um domínio da Samsung para levar as vítimas a um site de phishing com o tema do Office 365. Eles se valeram do fato de que o acesso a um domínio como o da Samsung não seria bloqueado por um software de segurança. A Check Point informou à Universidade de Oxford, Adobe e Samsung sobre os detalhes e as descobertas dessa campanha.

Para expandir a campanha, eles comprometeram vários sites, introduzindo um script que imita o mecanismo oferecido pelo serviço de redirecionamento da Adobe. Investigações da Check point revelaram que os atacantes implementaram alguns outros truques para ocultar o kit de phishing e evitar a detecção.

Veja isso
Check Point anuncia mais integração a AWS e inclui Kubernetes
GRU adota proteção Check Point

Um deles foi invadir o servidor de e-mail da Universidade de Oxford para usar o SMTP e enviar e-mails maliciosos às vítimas. Essas mensagens continham links redirecionados para um servidor Adobe utilizado pela Samsung no passado, permitindo o aproveitamento da aparência de um domínio legítimo da empresa para enganar as vítimas. Depois disso elas eram levadas a um site onde tinham de digitar e assim compartilhar suas credenciais de acesso ao Office 365.

“O que parecia ser uma clássica campanha de phishing do Office 365, acabou sendo uma obra-prima em termos de estratégia”, comentou Lotem Finkelsteen, diretor de Inteligência de Ameaças da Check Point. Segundo ele, o acesso ao correio corporativo, como o da Universidade, pode permitir que os atacantes consigam acesso ilimitado às operações corporativas: “Para desencadear o ataque, o cibercriminoso teve de obter acesso aos servidores da Samsung e Universidade de Oxford, o que significa que ele teve tempo de entender o funcionamento interno, para passar despercebido”, detalha Finkelsteen.

Compartilhar:

Últimas Notícias