Atores reformulam materiais de campanha de phishing para vitimar mais contratados do governo com o Microsoft 365
3 minutos. ler
Publicado em
Compartilhe este artigo
Melhore este guia
Leia nossa página de divulgação para descobrir como você pode ajudar o MSPoweruser a sustentar a equipe editorial Saiba mais
Um grupo de agentes mal-intencionados aumentou suas campanhas de phishing para enganar grandes empresas (particularmente as dos setores de energia, serviços profissionais e construção) a enviar seus Microsoft Office 365 credenciais da conta. De acordo com um relatório da empresa de soluções de detecção e resposta de phishing Cofense, os operadores da campanha fizeram melhorias no processo e no design de seus elementos de atração e agora estão se disfarçando de outras agências governamentais dos EUA, como os Departamentos de Transporte, Comércio e Trabalho.
“Atores de ameaças estão realizando uma série de campanhas que falsificam vários departamentos do governo dos Estados Unidos”, disse Cofense. “Os e-mails alegam solicitar propostas para projetos governamentais, mas levam as vítimas a páginas de phishing de credenciais. Essas campanhas estão em andamento desde pelo menos meados de 2019 e foram abordadas pela primeira vez em nosso Flash Alert em julho de 2019. Essas campanhas avançadas são bem elaboradas, foram vistas em ambientes protegidos por gateways de e-mail seguros (SEGs), são muito convincentes e aparecem ser alvo. Eles evoluíram ao longo do tempo, melhorando o conteúdo do e-mail, o conteúdo do PDF e a aparência e o comportamento das páginas de phishing de credenciais.”
Cofense mostrou uma série de capturas de tela comparando os materiais anteriores e atuais sendo usados pelos invasores. Os primeiros a receber essas melhorias são os e-mails e PDFs, que agora estão sendo personalizados para parecerem mais autênticos. “Os primeiros e-mails tinham corpos de e-mail mais simplistas, sem logotipos e com linguagem relativamente direta”, acrescentou Cofense. “Os e-mails mais recentes usavam logotipos, blocos de assinatura, formatação consistente e instruções mais detalhadas. E-mails recentes também incluem links para acessar os PDFs em vez de anexá-los diretamente.”
Por outro lado, para evitar as suspeitas das vítimas, os agentes de ameaças também fizeram alterações na página de phishing de credenciais, desde o processo de login até o design e os temas. Os URLs das páginas também são alterados intencionalmente para mais longos (por exemplo, transport[.]gov[.]bidprocure[.]secure[.]akjackpot[.]com), para que os alvos vejam apenas a parte .gov em um navegador menor janelas. Além disso, a campanha agora apresenta requisitos de captcha e outras instruções para tornar o processo mais crível.
Os refinamentos em tais campanhas tornam a distinção de sites e documentos reais de sites falsos mais desafiador para os alvos, especialmente agora que os atores estão usando informações atualizadas copiadas de fontes originais. No entanto, Cofense sublinhou que ainda existem formas de evitar ser vítima destes actos. Além de detectar pequenos detalhes (por exemplo, data errada nas páginas e URLs suspeitos), todos os destinatários devem sempre ser cautelosos ao clicar em links, não apenas aqueles incorporados em e-mails, mas também em anexos.
