Um grupo de cibercriminosos vem utilizando um velho golpe — porém ainda eficaz — para roubar credenciais nos principais aplicativos da Microsoft. De acordo com pesquisadores do ThreatLabZ, eles enviam e-mails às vítimas em potencial notificando uma mensagem de correio de voz. No corpo do texto, porém, há um anexo HTML que, quando aberto, redireciona o usuário a um site de phishing de credenciais.
A equipe do ThreatLabZ, vinculada ao serviço de segurança Zscaler, monitora, desde maio, a campanha que visa as principais indústrias verticais nos Estados Unidos. Tanto os e-mails quanto a página de roubo de credenciais, segundo os pesquisadores, parecem vir de entidades legítimas e a própria Zscaler foi uma dos alvos da operação.
Outras vítimas da campanha incluem organizações ligadas a segurança de software, militares, provedores de soluções de segurança, assistência médica e farmacêutica e cadeias de manufatura.
“Embora não seja uma abordagem nova, o uso de notificações de correio de voz continua sendo muito eficaz, pois tendem a se misturar aos tipos de notificações que fazem parte do nosso trabalho diário”, explica Erich Kron, especialista de segurança da KnowBe4, em entrevista ao site Threatpost.
Leia mais:
- Microsoft está testando uma repaginada no design do OneNote
- Microsoft está testando o Android 12.1 para Windows 11
- Microsoft quer replicar a E3 para usuários do Game Pass; entenda
Como funciona o golpe atual
Primeiro, os cibercriminosos enviam uma mensagem às vítimas informando que elas têm um novo correio de voz. O remetente da mensagem, diz o ThreatLabZ, é colocado como se fosse da empresa-alvo e o endereço no campo “De” imita o nome da organização, assim como a marca d’água no próprio e-mail.
Na mensagem, um anexo HTML redireciona o usuário para um site de phishing de credenciais que imita a página da Microsoft, consolidando o golpe. Os principais aplicativos alvo são os incluídos no pacote Office 365 e Outlook. Os invasores ainda usam um formato consistente para as URLs usadas no processo de redirecionamento “que incluem o nome da organização visada, bem como o endereço do e-mail do indivíduo”, observam os pesquisadores.
No caso da Zscaler, por exemplo, a URL tinha o seguinte formato: “zscaler.zscaler.briccorp[.]com/<base64_encoded_email>”.
Como o golpe ainda está ativo, o ThreatLabZ recomenda que os usuários não abram anexos em e-mails enviados de fontes não-confiáveis ou desconhecidas. “Como prática recomendada, em geral, os usuários evem verificar a URL na barra de endereço do navegador antes de inserir qualquer credencial”, orienta o ThreatLabZ, em publicação da última sexta-feira (17).
Crédito da imagem principal: MaximP/Shutterstock
Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!
Tags: