Microsoft alerta: campanha de spear-phishing tem como alvo Office 365

A Microsoft revelou que uma campanha de spear-phishing de um ano teve como alvo clientes do Office 365 em vários ataques a partir de julho de 2020.

A Microsoft revelou que uma campanha de spear-phishing teve como alvo clientes do Office 365. Com duração de um ano, a ação teve vários ataques a partir de julho de 2020.

Os invasores usaram anexos XLS.HTML com tema de uma fatura/conta a pagar falsa. Ao receber o e-mail de phishing, o usuário acreditaria que estivesse recebendo um arquivo em Excel, e logo que ele abrisse, suas credenciais seriam solicitadas para acessar o Office 365. A Microsoft relatou que eles modificavam os mecanismos de ofuscação e criptografia a cada 37 dias, em média, uma circunstância que demonstra alta motivação e a capacidade dos agentes da ameaça de tentar se evadir constantemente a detecção.

“O anexo HTML é dividido em vários segmentos, incluindo os arquivos JavaScript usados ​​para roubar senhas, que são codificados por vários mecanismos. Esses invasores passaram do uso de código HTML de texto simples para o emprego de várias técnicas de codificação, incluindo métodos de criptografia antigos e incomuns, como o código Morse, para ocultar esses segmentos de ataque. ” lê o relatório publicado pela Equipe de Inteligência de Ameaças de Defesa do Microsoft 365. “Alguns desses segmentos de código nem mesmo estão presentes no próprio anexo. Em vez disso, eles residem em vários diretórios abertos e são chamados por scripts codificados.”

Os invasores dividem o anexo HTML em segmentos individuais que parecem inofensivos e contornam as soluções de segurança.

Os especialistas acreditam que o objetivo dos invasores é coletar nomes de usuário, senhas e em ondas recentes de ataques, capturar outras informações como endereço IP e localização, que podem ser usadas em ataques posteriores.

Esses ataques são muito eficazes devido aos esforços para ofuscar seus e-mails de phishing para contornar e driblar as soluções de segurança de e-mail.

“No caso desta campanha de phishing, essas tentativas incluem o uso de ofuscação multicamadas e mecanismos de criptografia para tipos de arquivo existentes conhecidos, como JavaScript. A ofuscação multicamadas em HTML também pode iludir as soluções de segurança do navegador ”, afirma a Microsoft.

O anexo HTML é dividido em vários segmentos, que são codificados usando vários mecanismos de codificação.

Os segmentos que compõem o anexo incluem:

  • • Segmento 1 – endereço de e-mail do alvo
  • • Segmento 2 – Logotipo da organização do usuário-alvo do logotipo [.] Clearbit [.] Com, i [.] Gyazo [.] Com ou api [.] Statvoo [.] Com; se o logotipo não estiver disponível, este segmento carrega o logotipo do Microsoft Office 365.
  • • Segmento 3 – um script que carrega a imagem de um documento desfocado, indicando que o tempo de entrada supostamente expirou.
  • • Segmento 4 – Um script que solicita que o usuário insira sua senha, envia a senha inserida para um kit de phishing remoto e exibe uma página falsa com uma mensagem de erro para o usuário.

Os agentes de ameaças costumavam alterar os mecanismos de codificação para evitar a detecção, eles usavam métodos diferentes para cada segmento e alternavam o uso de código HTML de texto simples, escape, Base64, caracteres ASCII e até mesmo código Morse.

A Microsoft revelou que uma campanha de spear-phishing de um ano teve como alvo clientes do Office 365 em vários ataques a partir de julho de 2020.

Ao enganar o destinatário para que ele inicie o anexo, ele exibe um formulário de login falso do Office 365 sobre um documento do Excel borrado. A caixa de diálogo de login é projetada usando o logotipo da organização do destinatário e, em alguns casos, o campo “nome de usuário” é preenchido com os endereços de e-mail dos alvos e solicita que a vítima forneça sua senha para visualizar o documento do Office.

A Microsoft revelou que uma campanha de spear-phishing de um ano teve como alvo clientes do Office 365 em vários ataques a partir de julho de 2020.

Se o destinatário fornecer sua senha, um script exibirá um alerta informando à vítima que a senha está incorreta e enviará a senha ao invasor.

A Microsoft compartilhou Indicadores de Compromisso (IoCs) para esta campanha, veja mais detalhes clicando aqui.

Fonte: securityaffairs.co

Posts relacionados: Microsoft lança atualizações de segurança para Windows 10 e Windows Server / Microsoft publica mitigações para o ataque “PetitPotam” e Microsoft anuncia novos recursos de detecção de ransomware para Azure