Ataque spearphishing Microsoft.com mira em 200 milhões de usuários do Office365

Views: 515
0 0
Read Time:3 Minute, 29 Second

Ainda não se sabe por que a Microsoft está permitindo uma paródia de seu próprio domínio contra sua própria infraestrutura de e-mail.

Um ataque de spearphishing está falsificando Microsoft.com para atingir 200 milhões de usuários do Microsoft Office 365 em uma série de mercados verticais importantes, incluindo serviços financeiros, saúde, manufatura e provedores de serviços públicos.

Pesquisadores da Ironscales descobriram a campanha que teve como alvo milhares de caixas de correio em quase 100 clientes da empresa de segurança de e-mail, disse Lomy Ovadia, vice-presidente de pesquisa e desenvolvimento da Ironscales, em um relatório publicado online na segunda-feira. Outros setores que estão sendo alvo, incluindo empresas de telecomunicações e seguros, disse ele.

O ataque é particularmente enganoso porque implanta uma técnica exata de falsificação de domínio, “que ocorre quando um e-mail é enviado de um domínio fraudulento que é uma correspondência exata com o domínio da marca falsificada”, escreveu Ovadia. Isso significa que mesmo usuários experientes que verificam endereços de remetente para garantir que um e-mail seja legítimo podem ser enganados, disse ele.

O ataque é composto por um e-mail de aparência realista que tenta persuadir os usuários a tirar proveito de um recurso relativamente novo do Office 365 que permite que eles recuperem e-mails que foram acidentalmente marcados como mensagens de spam ou phishing, de acordo com o relatório. As mensagens vêm do remetente “Microsoft Outlook”.

“Especificamente, a mensagem fraudulenta é composta de linguagem urgente e um tanto indutora de medo, destinada a convencer os usuários a clicar no que é um link malicioso sem hesitação”, escreveu Ovadia. “Conforme inferido pela mensagem, o link redirecionará os usuários para um portal de segurança no qual eles podem revisar e tomar medidas sobre ‘mensagens em quarentena’ capturadas pela pilha de filtragem EOP (Exchange Online Protection), o novo recurso que só está disponível desde setembro.”

Uma vez que um usuário clica no link, ele é solicitado a digitar credenciais legítimas de login do Office 365 em uma página de login falsa controlada pelos invasores para colher e provavelmente vender na dark web, de acordo com a Ironscales.

Um aspecto interessante da campanha é o seu sucesso em passar por controles de gateway de e-mail seguros (SEG). Normalmente, falsificações exatas de domínio não são muito difíceis de detectar, de acordo com ironscales; a empresa descobriu em pesquisas anteriores que essa tática foi representada em menos de 1% do total de ataques de falsificação que contornam segs em um determinado ano.

“Mesmo as ferramentas de segurança de e-mail não nativas da nuvem e herdadas são bastante eficientes para parar esses tipos de ataques”, observou Ovadia. “A razão pela qual os SEGs podem tradicionalmente parar a falsificação exata de domínio é porque, quando configurado corretamente, esse controle está em conformidade com a autenticação de mensagens baseada em domínio, relatórios e conformidade (DMARC), um protocolo de autenticação de e-mail construído especificamente para impedir a falsificação exata de domínio (SPF/DKIM).”

No entanto, a Ironscales descobriu que os servidores da Microsoft não estão aplicando o protocolo DMARC, o que significa que as mensagens de falsificação de domínio exatas passam por controles como Office 365 EOP e Advanced Threat Protection.

“Any other email service that respects and enforces DMARC would have blocked such emails,” Ovadia wrote. “It remains unknown as to why Microsoft is allowing a spoof of their very own domain against their own email infrastructure.”

The situation is particularly curious as Microsoft is typically one of the top domain names if not the top domain imitated by hackers in phishing campaigns, he observed.

To mitigate attacks, Ironscales advised organizations to configure their email defense and protection systems for DMARC, which should detect and reject emails coming from the latest Office 365 campaign, according to the report.

“A segurança avançada de e-mail em nível de caixa de correio que estuda continuamente a caixa de entrada de cada funcionário para detectar anomalias com base em dados de e-mail e metadados extraídos de comunicações previamente confiáveis pode ajudar a parar as falsificações de e-mails que escapam pelas rachaduras”, acrescentou Ovadia.

FONTE: THREATPOST

POSTS RELACIONADOS