Microsoft Alerta: nova campanha de phishing contra usuários do Office 365

O time de Security Intelligence da Microsoft divulgou, no último dia 16-nov-2020, alertas a usuários da suíte Office 365 a respeito de uma campanha de phishing que parece estar colhendo credenciais de vítimas. Segundo a análise da Microsoft, os emails de phishing ainda estão circulando e usam diversas técnicas para contornar e evadir gateways de email seguro. Os fraudadores usam técnicas de engenharia social para definir temas e assuntos de modo a ludibriar as vítimas a clicar nos emails e inserir credenciais. Muitos dos assuntos envolvem aspectos de trabalho remoto, incluindo informações de conferências e tickets de helpdesk.

Tweet do time de Security Intelligence da Microsoft

Estratégias de evasão. Após analisar os emails de phishing, pesquisadores da Microsoft notaram o uso de diversas estratégias para desviar dos controles de segurança como, por exemplo, o uso de redirecionadores de URL que podem detectar conexões derivando de ambientes de sandbox (os quais são, tipicamente, usados em procedimentos de análise de malware).

Cada redirecionador usa um subdomínio que contém um nome de usuário e o nome de domínio da organização, o que ajuda a compor um aspecto de autenticidade do email de phishing, de acordo com o relatório. Este subdomínio único é adicionado a um conjunto de domínios-base, tipicamente, de sites comprometidos. As URL de phishings possuem um sinal de ponto extra após o domínio de topo, seguido pelo email do recipiente codificado em Base64.

O número de subdomínios únicos utilizados significa que os fraudadores podem enviar grandes volumes de email de phishing como meio de evasão. Além disso, se o redirecionador detecta que está sendo acessado de um ambiente de sandbox ou com URL expirada, ele redireciona para um site legítimo, evadindo análise – apenas usuários “legítimos” são redirecionados para o site de phishing.

Produzido a partir de informações obtidas e adaptadas de https://twitter.com/MsftSecIntel/status/1328481029842108416, https://www.databreachtoday.com/microsoft-warns-office-365-phishing-attacks-a-15395 e https://www.bleepingcomputer.com/news/security/office-365-phishing-campaign-detects-sandboxes-to-evade-detection/.