Uma nova campanha de phishing que representa o software de suporte técnico para tentar roubar credenciais de login de serviços em nuvem da empresa, incluindo Microsoft Azure, Microsoft Dynamics e IBM Cloud, foi observada em estado selvagem.
Conforme relatado pela BleepingComputer, a agência de notícias analisou recentemente mensagens de phishing da campanha para descobrir que elas usam expressões semelhantes a serviços reais de helpdesk de TI, enquanto fingem pertencer a um site chamado “servicedesk.com”.
Os emails usados na campanha imitam uma notificação de “email em quarentena”, enviado por produtos de segurança e filtros de spam, e solicita ao destinatário que “libere” as mensagens presas na fila. Enquanto o endereço listado no email faz parecer que a mensagem vem de “[email protected]”, os atacantes enviaram suas mensagens de phishing por meio de “cn.trackhawk.pro”, que servia como um domínio intermediário.
Em um esforço para ignorar mais facilmente os filtros de email , o domínio da central de serviços é usado no cabeçalho de e recebido dos emails de phishing da campanha. Isso significa que os invasores comprometeram os servidores de correio do servicedesk.com ou injetaram o texto “Recebido: formulário servicedesk.com” no cabeçalho para parecer mais credível.
Serviços de nuvem corporativa e ataques phishing
Os cibercriminosos por trás dessa nova campanha de phishing usaram o IBM Cloud Hosting, Microsoft Azure e Microsoft Dynamics para hospedar suas páginas de destino, a fim de torná-las mais legítimas. Além disso, os domínios hospedados na nuvem do Azure ou IBM também recebem certificados SSL gratuitos contendo os nomes dessas empresas, o que também ajuda a melhorar a legitimidade da campanha.
Após abrir um desses e-mails de phishing, o usuário verá dois botões chamados “RELEASE MESSAGES” e “CLEAN-UP CLOUD”. Quando um usuário clica em um desses botões, ele os leva a um URL legítimo do Microsoft Dynamics 365. Essa URL os redireciona para um domínio do IBM Cloud usado para hospedar a página de destino de phishing.
Se um usuário digitar uma senha fraca, a página de destino fornecerá um erro “senha errada !!”. No entanto, inserir uma senha longa e complexa redireciona o usuário para outra página falsa, confirmando o host de atualização das configurações no domínio de hospedagem do Azure, o windows.net. Esta página maliciosa redireciona o usuário para um site chamado “axsharma.com”.
Essa nova campanha de phishing é particularmente perigosa porque, uma vez que um usuário desiste de suas credenciais na nuvem da empresa, um invasor pode obter acesso à rede corporativa de sua organização.