0
0
Os phishers estão usando mensagens criptografadas de permissão restrita (.rpmsg) anexadas em e-mails de phishing para roubar credenciais de conta do Microsoft 365.
“[As campanhas] são de baixo volume, direcionadas e usam serviços de nuvem confiáveis para enviar e-mails e hospedar conteúdo (Microsoft e Adobe)”, dizem os pesquisadores da Trustwave Phil Hay e Rodel Mendrez. “Os e-mails iniciais são enviados de contas comprometidas do Microsoft 365 e parecem ser direcionados para endereços de destinatários onde o remetente pode estar familiarizado.”
E-mails de phishing com mensagens de permissão restritas criptografadas da Microsoft
Os e-mails de phishing são enviados de uma conta comprometida do Microsoft 365 para indivíduos que trabalham no departamento de cobrança da empresa destinatária.
E-mail de phishing com uma mensagem de permissão restrita criptografada (Fonte: Trustwave)
Os e-mails contêm um anexo .rpmsg (mensagem de permissão restrita) e um botão “Ler a mensagem” com uma URL longa que leva a office365.com para visualização de mensagens.
Para ver a mensagem, as vítimas são solicitadas a entrar com sua conta de email do Microsoft 365 ou solicitar uma senha única.
Depois de usar a senha recebida, as vítimas recebem primeiro uma mensagem com um tema falso do SharePoint e são solicitadas a clicar em um botão para continuar. Em seguida, eles são redirecionados para um documento que parece estar hospedado no SharePoint, mas na verdade está hospedado no serviço InDesign da Adobe.
Eles são novamente solicitados a clicar em um botão para visualizar o documento e são levados para um domínio que se parece com o do remetente original (por exemplo, Talus Pay), com uma barra de progresso.
Em segundo plano, a biblioteca FingerprintJS de código aberto coleta as informações do sistema e do navegador do usuário e, finalmente, a vítima recebe uma página de login falsificada do Microsoft 365 e é solicitada a entrar com suas credenciais.
Ocultando-se das soluções de segurança
“O uso de mensagens .rpmsg criptografadas significa que o conteúdo de phishing da mensagem, incluindo os links de URL, está oculto dos gateways de varredura de e-mail. O único link de URL no corpo da mensagem aponta para um serviço de criptografia da Microsoft”, observaram Hay e Mendez.
“A única pista de que algo pode estar errado é que a URL tem um endereço de remetente especificado (chambless-math.com) não relacionado ao endereço De: do e-mail. O link provavelmente foi gerado a partir de outra conta comprometida da Microsoft.”
Eles aconselham as organizações a:
- Bloqueie, sinalize ou inspecione manualmente anexos .rpmsg
- Monitore fluxos de e-mail recebidos para e-mails originados de MicrosoftOffice365@messaging.microsoft.com e com a linha de assunto “Sua senha única para visualizar a mensagem”
- Instrua os usuários sobre as consequências de descriptografar ou desbloquear conteúdo de e-mails não solicitados
- Implementar MFA.
FONTE: HELPNET SECURITY