Ataque de Phishing com Tema da Microsoft Tem como Alvo Executivos Usando Técnica Fake do Google reCAPTCHA

Views: 105
0 0
Read Time:8 Minute, 12 Second

ThreatLabZ, a equipe de pesquisa de ameaças da Zscaler, observou recentemente uma nova série de ataques de phishing temáticos da Microsoft destinados a funcionários de alto nível em várias organizações. A nuvem Zscaler bloqueou mais de 2.500 dessas tentativas de phishing nos últimos três meses. O ataque é notável por seu objetivo direcionado a líderes empresariais seniores com títulos como Vice-Presidente e Diretor Administrativo que provavelmente terão um maior grau de acesso a dados confidenciais da empresa. O objetivo dessas campanhas é roubar as credenciais de login dessas vítimas para permitir que os agentes de ameaças tenham acesso a ativos valiosos da empresa.

Os ataques foram espalhados por uma variedade de setores, com a atividade mais pesada nos setores bancário e de TI. Não podemos atribuir esses ataques a nenhum ator de ameaça em particular neste momento.

Nesses ataques, as vítimas recebem o que parece ser e-mails automatizados de suas ferramentas de comunicação unificada, indicando que têm um anexo de correio de voz. Quando clicam no anexo, as vítimas encontram uma tela falsa do Google reCAPTCHA e, em seguida, são direcionadas para o que parece ser uma tela de login da Microsoft, permitindo que os atores da ameaça roubem suas credenciais de login. As páginas de phishing são hospedadas usando domínios genéricos de topo (TLDs) .xyz, .club e .online.

fig1

Fig. 1: Os acertos de phishing observados em nossa nuvem Zscaler ao longo de onze semanas (.xyz, .club e .online)

O ThreatLabZ descobriu essas URLs de phishing em nossa estrutura Threat Intelligence e, além disso, recebeu várias submissões para a ferramenta de análise de risco de URL ThreatLabZ. Campanhas de phishing semelhantes utilizando reCAPTCHAs falsos do Google foram observadas há vários anos, mas esta campanha específica direcionada a executivos em verticais específicas do setor começou em dezembro de 2020.

Neste blog, detalhamos o ciclo de ataque completo das campanhas de phishing da Microsoft hospedadas usando os TLDs genéricos .xyz, .club e .online, e incluímos uma lista completa dos domínios de phishing observados. Também incluímos um gráfico que decompõe o número de ataques por indústria e por título para esclarecer mais o impacto desta campanha.
 

Campanha de phishing .xyz TLD:

Nos ataques de phishing .xyz TLD, os atores de ameaças enviam um e-mail de spam endereçado de um sistema de comunicações unificado com um arquivo HTML anexado que supostamente é uma mensagem de correio de voz.

fig2
Fig. 2: O e-mail de spam com anexo de arquivo HTML.

A figura a seguir mostra o conteúdo do arquivo HTML com um servidor de URL de phishing[.]mvmail365office[.]xyz.

Fig. 3: O código-fonte do arquivo HTML anexado vmail-219. HTM.

Uma vez que a vítima abre o arquivo HTML anexado, ele redireciona o usuário para o domínio de phishing .xyz, que está disfarçado como uma página legítima do Google reCAPTCHA, a fim de enganar os usuários.

Fig 4: A página falsa do Google reCAPTCHA.
 

Fig. 5: O código-fonte da página falsa do Google reCAPTCHA.

Uma vez que o Google reCAPTCHA “verifica” o usuário, ele redireciona o usuário para a página falsa de phishing de login da Microsoft.

Fig. 6: A falsa tela de login da Microsoft.

Fig. 7: O conteúdo real da página falsa de phishing da Microsoft.


Depois de fornecer as credenciais de login, a campanha de phishing mostrará uma mensagem falsa que diz “Validação bem-sucedida”. Em seguida, é mostrada aos usuários uma gravação de uma mensagem de correio de voz que podem reproduzir, permitindo que os atores da ameaça evitem suspeitas.

Fig. 8: A página de validação de conta falsa da Microsoft.

Fig. 9: O tráfego pós-infecção capturado em Fiddler.

Fig. 10: Mensagem de voz falsa direcionada a partir da campanha de phishing.

Fig. 11: O tráfego geral da web da campanha de phishing da Microsoft capturada no Fiddler.


Campanha de phishing .club TLD:

Semelhante à campanha .xyz TLD, a campanha de phishing .club TLD começa com os atacantes enviando e-mails de spam com um arquivo HTML anexado a ser endereçado a partir de um sistema de comunicações unificadas. Em seguida, segue com um falso Google reCAPTCHA, tela de login falsa da Microsoft e termina mostrando ao usuário um hospedado. Arquivo PDF.

Fig. 12: O e-mail de spam com o arquivo HTML anexado ATT34698. HTM.

A imagem a seguir mostra o conteúdo ofuscado do arquivo HTML anexado.

Fig. 13: O conteúdo ofuscado do arquivo HTML anexado.

Fig. 14: O conteúdo ofuscado do arquivo HTML com a URL de phishing.

Nesse caso, a campanha de phishing hospedada usou o domínio volp[.]makersvlib[.]club com o falso método Google reCAPTCHA.

Fig. 15: A página falsa do Google reCAPTCHA usa o domínio TLD .club.

Fig. 16: A falsa campanha de phishing da Microsoft volp[.]makersvlib[.]club.


Fig. 17: O arquivo PDF falso hospedado exibido após o roubo de credenciais.

Fig. 18: O tráfego geral da web da campanha de phishing hospedada usando o domínio TLD .club.

Campanha de phishing .online TLD:

Na campanha de phishing .online, os atores da ameaça enviam aos usuários um arquivo PDF com a campanha de phishing anexada linksecure[.]nealrose-lawofficerecords[.]online, juntamente com uma diretiva que diz “REVIEW SECURE DOCUMENT”. Uma vez que o usuário clica no arquivo, ele é redirecionado para um falso reCAPTCHA do Google seguido por uma tela de login falsa da Microsoft; após o compromisso, ele é redirecionado para uma página de pesquisa do Google.com.


Fig. 19: O arquivo PDF de spam redireciona para a campanha de phishing secure[.]nealrose-lawofficerecords[.]online

Fig. 20: A página falsa do Google reCAPTCHA usa o domínio TLD .online.

Fig. 21: A falsa campanha de phishing da Microsoft (secure[.]nealrose-lawofficerecords[.]online).

Fig. 22: A página de destino final (Google.com) após o compromisso.

Fig. 23: O tráfego geral da web da campanha de phishing hospedada usando o domínio TLD .online

Conclusão

A nuvem Zscaler bloqueou mais de 2.500 ataques de phishing direcionados com tema da Microsoft nos últimos três meses que foram hospedados usando os domínios genéricos de TLD (.xyz, .club, .online).

O diagrama a seguir representa os principais setores alvo desta campanha de phishing, com base na análise do ThreatlabZ:

Fig. 24: Porcentagem de acertos de phishing detectados observados pela indústria na nuvem Zscaler.

fig25

Fig. 25: Aqui está a distribuição das designações de funcionários alvo.

COIs:

Domínios de phishing .xyz TLD:

a-bl[.]xyz

a-cl[.]xyz

a-it[.]xyz

a-ll[.]xyz

a-rt[.]xyz

aouthsmm[.]vmvoicepss[.]xyz

ay[.]tarr0-trubg4[.]xyz

b-ic[.]xyz

b-on[.]xyz

b-oy[.]xyz

b-ut[.]xyz

bh[.]voxxx-vog[.]xyz

bm[.]vpm-vpx[.]xyz

bm[.]xoxi[.]xyz

bo[.]gi9ygh-gko[.]xyz

c-ad[.]xyz

c-hi[.]xyz

c-sv[.]xyz

c-tl[.]xyz

c-ut[.]xyz

cn[.]c7no-l3onr[.]xyz

connect[.]linktechonline[.]xyz

cu[.]b0t3ion-nplus[.]xyz

d-cj[.]xyz

d-ol[.]xyz

db[.]mscall[.]xyz

df[.]sfrf0d-ffdf8[.]xyz

dh[.]xoxi[.]xyz

e-pl[.]xyz

e-rl[.]xyz

e-xp[.]xyz

e-xt[.]xyz

e-ye[.]xyz

emouths[.]southsvm[.]xyz

pt[.]g-ts[.]xyz

pt[.]s-ir[.]xyz

evmoises[.]axvoipsee[.]xyz

evoipses[.]vmvoicepss[.]xyz

f-at[.]xyz

f-oc[.]xyz

f-yi[.]xyz

fox[.]gen-voicemh[.]xyz

gb[.]g-ta[.]xyz

h-en[.]xyz

h-jy[.]xyz

i-is[.]xyz

i-tt[.]xyz

ii-j[.]xyz

j-an[.]xyz

j-kj[.]xyz

j-oc[.]xyz

j-on[.]xyz

j-s1[.]xyz

j-ss[.]xyz

jk[.]voxxx-vog[.]xyz

I-it[.]xyz

m-lj[.]xyz

main[.]net-data[.]xyz

mh[.]vowvog[.]xyz

monsvm[.]dgomesx[.]xyz

mp[.]j-mi[.]xyz

ms-dn[.]xyz

msg[.]l-x[.]xyz

mu[.]op9co-sand9u[.]xyz

nnhousts[.]ovoicess[.]xyz

o-su[.]xyz

of-f[.]xyz

om[.]lo0d0-dom1[.]xyz

em[.]l-x[.]xyz

open[.]weprotect[.]xyz

ot[.]bk9hd-ghfi[.]xyz

outhes[.]kmaouths[.]xyz

outhsome[.]svoipse[.]xyz

ov[.]j4hm-i3lbad[.]xyz

p-ai[.]xyz

p-gd[.]xyz

p-kg[.]xyz

p-ra[.]xyz

qwerty[.]casaholic[.]xyz

r-al[.]xyz

r-im[.]xyz

rm[.]vioce[.]xyz

rr[.]fol1-dus0[.]xyz

s-c-srv[.]xyz

s-vl-srv[.]xyz

s-vr[.]xyz

sa[.]n7go-son9[.]xyz

secure[.]weprotect[.]xyz

serv[.]vmail0ffice365[.]xyz

server[.]latvoice365[.]xyz

server[.]mvmail3650ffice[.]xyz

server[.]vmail0ffice365[.]xyz

server[.]vmilogg365[.]xyz

server[.]vmilogger365[.]xyz

server[.]voipvmi365[.]xyz

service[.]linktechonline[.]xyz

service[.]techfirmonline[.]xyz

servnet[.]vmilogg365[.]xyz

servnet[.]voicelineo365[.]xyz

servnet[.]voipo365vm[.]xyz

smouths[.]xvomess[.]xyz

southssm[.]dgomesx[.]xyz

ss[.]jan-4anu[.]xyz

ss[.]kss90-csmi8[.]xyz

sv[.]j-ss[.]xyz

svoipses[.]xvomess[.]xyz

t-wo[.]xyz

th[.]goli90-byx[.]xyz

ty[.]ety3-gyih[.]xyz

v-at[.]xyz

v-jz[.]xyz

você[.]j-ml[.]xyz

vm[.]creek-nell[.]xyz

vm[.]lookhere-now[.]xyz

vmaxs[.]xvbouses[.]xyz

vmhomes[.]xvomess[.]xyz

vmhomses[.]svoipse[.]xyz

vmhosmm[.]svousnom[.]xyz

vmouses[.]xvbouses[.]xyz

vmouths[.]hotvoiss[.]xyz

vn[.]mack-reck[.]xyz

vn[.]under-cove[.]xyz

vnmouths[.]kmaouths[.]xyz

voipses[.]axvoipsee[.]xyz

vu[.]trf68oo-gh7[.]xyz

vu[.]vrte[.]xyz

vv[.]0bot3-kali[.]xyz

vvousokes[.]xvoicses[.]xyz

www[.]en[.]g-ts[.]xyz

x-ac[.]xyz

xo[.]gen-voicemh[.]xyz

xx[.]ko3-s0nius[.]xyz

z-am[.]xyz

zh-o[.]xyz

zomouths[.]otlcvoce[.]xyz

Domínios de phishing .club TLD:

authentication[.]vmclouds[.]club

d-at[.]club

docc[.]mancvoicedoc[.]club

dq[.]dingvoizs[.]club

evoipses[.]xvoisesx[.]club

h-at[.]club

i-at[.]club

I-at[.]club

nomailes[.]xvoisesx[.]club

ox[.]din4-h0nt[.]clube

p-at[.]club

sh[.]dingvoizs[.]club

t-at[.]club

volp[.]hukslert[.]club

volp[.]makersvlib[.]club

volp[.]volssbalert[.]club

vvmails[.]xvoisesx[.]club

xx[.]vam-gij[.]clube

Domínios de phishing .online TLD:

app[.]lawofficeneal[.]online

app[.]nealrose-lawoffices[.]online

arquivos[.]lawoffice-nealroseberg[.]online

arquivos[.] escritórios de direito de nealrose[.]online

secure[.]lawoffices-of-neal[.]online

secure[.]nealrose-lawofficerecords[.]online

secured[.]lawfirmnearl[.]online

secure[.]rosellawassocciates[.]online

FONTE: ZSCALER

Previous post Ferramenta de Mitigação no Local do Microsoft Exchange com Um Clique – Março de 2021
Next post Vulnerabilidade do kernel Linux que permite que atacantes locais escalem privilégios

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *