Hackers buscam obter credenciais do Office 365 de funcionários que estão trabalhando em casa em razão da pandemia de covid-19
Uma campanha de phishing recentemente descoberta está falsificando notificações da plataforma de colaboração do Microsoft Teams para coletar credenciais do Office 365 de funcionários que estão trabalhando em casa devido à pandemia de covid-19, de acordo com uma pesquisa da empresa de segurança Abnormal Security.
Acredita-se que essa campanha tenha como alvo entre 15 mil e 50 mil equipes e usuários do Office 365, de acordo com o relatório divulgado na sexta-feira, 1º. Não está claro se os ataques foram bem-sucedidos ou se esta campanha ainda está em andamento.
Veja isso
Preço de kits de phishing do mercado ilegal sobe 149% em 2019
Zoom é usado em domínios falsos para ataques de phishing
As plataformas de vídeo e colaboração baseadas na nuvem, como o Microsoft Teams e o Zoom, explodiram em uso nos últimos dois meses devido a pandemia ter forçando muitos funcionários a trabalhar em home office. Por exemplo, a Microsoft viu o número de usuários diários ativos de equipes saltar de 44 milhões no final de março para 75 milhões no final de abril.
Ao mesmo tempo, essas plataformas e serviços baseados na nuvem estão sendo explorados por fraudadores, usando imagens e mensagens clonadas de empresas legítimas para e-mails de phishing e domínios maliciosos, de acordo com pesquisadores de segurança.
Tipos de ataques
Na campanha de phishing descoberta pela Anormal Security, os fraudadores criaram mensagens com aparência realista que imitavam e-mails de notificação automatizados do Microsoft Teams. Esses e-mails de phishing tentaram atrair as vítimas para as páginas de entrada falsificadas que usam imagens e linguagem clonadas obtidas diretamente dos sites oficiais da Microsoft, Teams e Office 365, para dar a esses domínios uma aparência realista.
Os atacantes também enviaram mensagens de domínios que pareciam legítimos. Em um caso, os e-mails de phishing vieram de um domínio registrado recentemente chamado “sharepointonline-irs.com”, que não está associado à Microsoft, de acordo com o relatório. Os fraudadores usaram ainda vários redirecionamentos de URL para ajudar a desviar das ferramentas de segurança, observa o relatório.
Esta campanha usou dois ataques para atingir as vítimas. Em um ataque, os fraudadores usaram e-mails de phishing que continham um link para um documento que parecia vir de um provedor estabelecido de marketing por e-mail. Se o usuário clicou no documento, uma imagem do Microsoft Teams apareceu e instou a vítima a fazer login em sua conta.
Essa imagem falsificada do Teams continha outro URL que levaria a vítima em potencial a um domínio mal-intencionado que parecia uma página de entrada do Office 365 e pedia ao usuário para inserir suas credenciais. Se os usuários fornecerem um nome de usuário e uma senha, eles serão coletados pelos atacantes.
No segundo ataque, os e-mails de phishing continham links que redirecionam a vítima para uma página do YouTube. Após vários redirecionamentos, a vítima é enviada para uma página de login falsa do Office 365 e solicitada a inserir suas credenciais, que são coletadas pelos fraudadores. “Se o destinatário for vítima desse ataque, as credenciais desse usuário serão comprometidas”, observam os pesquisadores da Abnormal Security. “Além disso, como o Microsoft Teams está vinculado ao Microsoft Office 365, o invasor pode ter acesso a outras informações disponíveis com as credenciais da Microsoft do usuário via logon único.”
