0
0
Resecurity, Inc. (EUA) identificou um aumento no conteúdo de phishing entregue via Azure Front Door (AFD), um serviço de CDN em nuvem fornecido pela Microsoft. Os recursos identificados em uma das campanhas maliciosas se passaram por vários serviços que pareciam ser criados legitimamente no domínio “azurefd.net”. Isso permite que os maus atores enganem os usuários e espalhem conteúdo de phishing para interceptar credenciais de aplicativos de negócios e contas de e-mail.
Notavelmente, a maioria dos recursos de phishing foi projetada para atingir os clientes da SendGrid, Docusign e Amazon, juntamente com vários outros grandes provedores e corporações de serviços on-line japoneses e do Oriente Médio. De acordo com especialistas, tais táticas confirmam como os maus atores estão continuamente procurando aprimorar suas táticas e procedimentos para evitar a detecção de phishing usando serviços em nuvem mundialmente conhecidos.
Com base nos modelos de phishing analisados, os atacantes provavelmente estão usando uma maneira automatizada de gerar suas cartas de phishing, fazendo isso, eles são capazes de dimensionar suas campanhas para, em última análise, atingir um número maior de clientes em todo o mundo.
Pesquisadores de segurança cibernética da Resecurity identificaram vários domínios usados na nova onda de ataques de phishing que remontam ao início de junho – alguns dos quais são obviamente difíceis de diferenciar da correspondência legítima devido à sua nomeação e referência ao Azure Front Door, o que só adiciona mais complexidade para os defensores:
gridapisignout[.]azurefd[.]net
amazon-uk[.]azurefd[.]net
webmailsign[.]azurefd[.]net
onlinesigninlogin[.]azurefd[.]net
owasapisloh[.]azurefd[.]net
docuslgn-micros0ft983-0873878383[.]azurefd.net
Algumas instâncias desta campanha começaram por volta do mês de março de 2022 e foram focadas principalmente no Japão e hospedadas nos recursos do Kagoya VPS. Os cenários que atuam como scripts para a coleta de credenciais interceptadas também foram hospedados em vários recursos da WEB hackeados, aproveitando domínios com ortografia semelhante aos nomes das corporações existentes. Tais domínios foram usados para se passar por várias grandes empresas no Oriente Médio e em outros países, o que pode confirmar que a campanha poderia ter sido direcionada e ter certos motivos além dos financeiros.
Em um dos episódios de phishing, os atores da ameaça se passaram pelo grande conglomerado empresarial Al-Futtaim Group dos Emirados Árabes Unidos, que foi fundado em 1930 com mais de 44.000 funcionários. O host foi criado em março de 2022 e foi usado para coletar credenciais interceptadas, aproveitando a ortografia com apenas 1 letra diferente do nome legítimo e oficial do nome de domínio do Grupo Al-Futtaim (“alfuttairn[.]com” VS “alfuttaim[.]com”).
Os nomes de domínio maliciosos identificados e informações adicionais foram relatados pela Resecurity ao Microsoft Security Response Center (MSRC) para minimizar possíveis riscos e danos causados por essa atividade. Todos os recursos maliciosos identificados foram encerrados com sucesso e em tempo hábil.
Campanhas semelhantes foram identificadas pelo MalwareHunterTeam (MHT) em novembro de 2021, quando o Azure Front Door Service (AFD) foi usado para hospedar conteúdo de phishing direcionado à academia e aos funcionários do governo do Reino Unido.
De acordo com especialistas, essas táticas podem ser alavancadas por atores sofisticados de ameaças e grupos APT, bem como por cibercriminosos para evitar serem detectados na realização de campanhas de phishing, compromisso de e-mail comercial (BEC) e comprometimento de conta de e-mail (EAC).
Em um relatório de março de 2022, o IC3 disse que recebeu cerca de 20.000 reclamações de BEC no ano passado, com perdas ajustadas estimadas de cerca de US$ 2,4 bilhões. O total de estatísticas BEC/EAC relatadas ao FBI IC3, aplicação da lei e derivadas de registros em instituições financeiras entre junho de 2016 e dezembro de 2021 excede 43 bilhões.
FONTE: HELPNET SECURITY