Nos últimos meses, vários grupos de atacantes comprometeram com êxito as contas de e-mail corporativas de pelo menos 156 oficiais de alto escalão em várias empresas baseadas na Alemanha, Reino Unido, Holanda, Hong Kong e Cingapura.
Apelidada de 'PerSwaysion', a nova campanha de ataque cibernético aproveitou os serviços de compartilhamento de arquivos da Microsoft - incluindo Sway, SharePoint e OneNote - para lançar ataques de phishing altamente direcionados.
"Entre essas vítimas de alto escalão, mais de 20 contas do Office 365 de executivos, presidentes e diretores administrativos apareceram".
Até agora, bem-sucedidas e ainda em andamento, a maioria das operações do PerSwaysion foram orquestradas por golpistas da Nigéria e da África do Sul que usavam um kit de phishing baseado em framework JavaScript Vue.js., evidentemente, desenvolvido e alugado por hackers vietnamitas.
"No final de setembro de 2019, a campanha PerSwaysion adotou pilhas de tecnologia muito maduras, usando o Google appspot para servidores de aplicativos da web de phishing e o Cloudflare para servidores de back-end de dados".
Como a maioria dos ataques de phishing com o objetivo de roubar credenciais do Microsoft Office 365, os e-mails fraudulentos enviados como parte da operação do PerSwaysion também atraíram as vítimas com um anexo em PDF não-malicioso contendo o link 'leia agora' para um arquivo hospedado no Microsoft Sway.
"Os invasores escolhem serviços legítimos de compartilhamento de conteúdo baseados em nuvem, como Microsoft Sway, Microsoft SharePoint e OneNote para evitar a detecção de tráfego", disseram os pesquisadores.
Em seguida, a página de apresentação especialmente criada no serviço Microsoft Sway contém ainda outro link 'leia agora' que redireciona os usuários para o site de phishing real - aguardando as vítimas inserirem suas credenciais de conta de email ou outras informações confidenciais.
Uma vez roubados, os atacantes passam imediatamente para a próxima etapa e baixam os dados de e-mail das vítimas do servidor usando APIs IMAP e, em seguida, personificam suas identidades para segmentar ainda mais as pessoas que têm comunicações recentes por e-mail com a vítima atual e têm funções importantes na mesma ou em outra empresas.
Finalmente, eles geram novos arquivos PDF de phishing com o nome completo da vítima atual, endereço de e-mail e nome legal da empresa. Esses arquivos PDF são enviados para uma seleção de novas pessoas que tendem a estar fora da organização da vítima e ocupam posições significativas. O PerSwaysion os operadores normalmente excluem e-mails com representação da caixa de saída para evitar suspeitas.
As evidências indicam que é provável que os golpistas usem perfis do LinkedIn para avaliar possíveis posições da vítima. Essa tática reduz a possibilidade de aviso prévio dos colegas de trabalho da vítima atual e aumenta a taxa de sucesso do novo ciclo de phishing.
Saiba como podemos ajuda-los, entre em contato conosco. Fonte: Exame