Nos últimos meses, vários grupos de atacantes comprometeram com êxito as contas de email corporativas de pelo menos 156 oficiais de alto escalão em várias empresas baseadas na Alemanha, Reino Unido, Holanda, Hong Kong e Cingapura.
Apelidada de ' PerSwaysion ' , a nova campanha de ataque cibernético aproveitou os serviços de compartilhamento de arquivos da Microsoft - incluindo Sway, SharePoint e OneNote - para lançar ataques de phishing altamente direcionados.
De acordo com um relatório divulgado hoje pela equipe do Group-IB Threat Intelligence, e compartilhado com o The Hacker News, as operações da PerSwaysion atacaram executivos de mais de 150 empresas em todo o mundo, principalmente com negócios nos setores financeiro, jurídico e imobiliário.
Apelidada de ' PerSwaysion ' , a nova campanha de ataque cibernético aproveitou os serviços de compartilhamento de arquivos da Microsoft - incluindo Sway, SharePoint e OneNote - para lançar ataques de phishing altamente direcionados.
De acordo com um relatório divulgado hoje pela equipe do Group-IB Threat Intelligence, e compartilhado com o The Hacker News, as operações da PerSwaysion atacaram executivos de mais de 150 empresas em todo o mundo, principalmente com negócios nos setores financeiro, jurídico e imobiliário.
"Entre essas vítimas de alto escalão, mais de 20 contas do Office365 de executivos, presidentes e diretores administrativos apareceram".
Até agora, bem-sucedidas e ainda em andamento, a maioria das operações do PerSwaysion foram orquestradas por golpistas da Nigéria e da África do Sul que usavam um kit de phishing baseado em framework JavaScript Vue.js., evidentemente, desenvolvido e alugado por hackers vietnamitas.
"No final de setembro de 2019, a campanha PerSwaysion adotou pilhas de tecnologia muito maduras, usando o Google appspot para servidores de aplicativos da web de phishing e o Cloudflare para servidores de back-end de dados".
Como a maioria dos ataques de phishing com o objetivo de roubar credenciais do Microsoft Office 365, os e-mails fraudulentos enviados como parte da operação do PerSwaysion também atraíram as vítimas com um anexo em PDF não-malicioso contendo o link 'leia agora' para um arquivo hospedado no Microsoft Sway.
"Os invasores escolhem serviços legítimos de compartilhamento de conteúdo baseados em nuvem, como Microsoft Sway, Microsoft SharePoint e OneNote para evitar a detecção de tráfego", disseram os pesquisadores.
Em seguida, a página de apresentação especialmente criada no serviço Microsoft Sway contém ainda outro link 'leia agora' que redireciona os usuários para o site de phishing real - aguardando as vítimas inserirem suas credenciais de conta de email ou outras informações confidenciais.
Uma vez roubados, os atacantes passam imediatamente para a próxima etapa e baixam os dados de e-mail das vítimas do servidor usando APIs IMAP e, em seguida, personificam suas identidades para segmentar ainda mais as pessoas que têm comunicações recentes por e-mail com a vítima atual e têm funções importantes na mesma ou em outras empresas.
"Finalmente, eles geram novos arquivos PDF de phishing com o nome completo da vítima atual, endereço de e-mail e nome legal da empresa. Esses arquivos PDF são enviados para uma seleção de novas pessoas que tendem a estar fora da organização da vítima e ocupam posições significativas. O PerSwaysion os operadores normalmente excluem e-mails com representação da caixa de saída para evitar suspeitas ".
"As evidências indicam que os golpistas provavelmente usarão os perfis do LinkedIn para avaliar possíveis posições das vítimas. Essa tática reduz a possibilidade de aviso prévio dos colegas de trabalho da vítima atual e aumenta a taxa de sucesso do novo ciclo de phishing".
Embora não haja evidências claras de como os invasores estão usando dados corporativos comprometidos, os pesquisadores acreditam que pode ser '
O Group-IB também configurou uma página da Web on - line na qual qualquer pessoa pode verificar se o endereço de email foi comprometido como parte dos ataques do PerSwaysion - no entanto, você deve usá-lo e inserir o email apenas se espera ser atacado.
Postar um comentário