PHISHING - TOKEN ROUBADO DA KASPERSKY USADO EM PHISHING DO OFFICE 365 - SAMIR NEWS

 

*Token Amazon SES roubado da Kaspersky usado no phishing do Office 365

A Kaspersky disse hoje que um token legítimo Amazon Simple Email Service (SES) emitido para um contratante terceirizado foi usado recentemente por agentes de ameaça por trás de uma campanha de spear-phishing visando usuários do Office 365.

O Amazon SES é um serviço de e-mail escalável projetado para permitir que os desenvolvedores enviem e-mails de qualquer aplicativo para vários casos de uso, incluindo marketing e comunicações em massa por e-mail.

Os especialistas em segurança da Kaspersky vincularam as tentativas de phishing a vários cibercriminosos que usaram dois kits de phishing nesta campanha, um conhecido como Iamtheboss e outro chamado MIRCBOOT .

Nenhum servidor comprometido

"Este token de acesso foi emitido para um contratante terceirizado durante o teste do site 2050.earth", explicou a Kaspersky em um comunicado divulgado hoje, o primeiro desse tipo emitido pela empresa russa de segurança cibernética nos últimos seis anos.

“O site também está hospedado na infraestrutura da Amazon. Após a descoberta desses ataques de phishing, o token SES foi imediatamente revogado.

"Nenhum comprometimento do servidor, acesso não autorizado ao banco de dados ou qualquer outra atividade maliciosa foi encontrado em 2050.earth e serviços associados."

Os atores da ameaça não tentaram se passar por Kaspersky e decidiram camuflar suas mensagens de phishing como notificações de fax perdidas, redirecionando vítimas em potencial para páginas de destino de phishing projetadas para coletar suas credenciais da Microsoft.

No entanto, eles usaram um e-mail oficial da Kaspersky e enviaram os e-mails da infraestrutura da Amazon Web Services, o que provavelmente os ajudou a alcançar suas caixas de correio de destino, evitando facilmente a maioria das proteções de Secure Email Gateway (SEGs).

"Os e-mails de phishing geralmente chegam na forma de 'notificações de fax' e atraem os usuários para sites falsos que coletam credenciais para os serviços online da Microsoft", acrescentou Kaspersky .

"Esses e-mails têm vários endereços de remetente, incluindo, mas não se limitando a noreply@sm.kaspersky.com."

 

Usuários alertados para serem cautelosos

A Kaspersky incentiva os usuários e os alvos desses ataques de spear-phishing a serem cautelosos e ficarem vigilantes mesmo quando solicitados por suas credenciais ou outras informações confidenciais, mesmo se as mensagens solicitando essas informações pareçam vir de marcas conhecidas ou endereços de e-mail

Você pode encontrar informações detalhadas sobre como verificar a identidade do remetente usando os cabeçalhos de e-mail no blog do Kaspersky .

Em notícias relacionadas, a Microsoft também alertou em agosto sobre uma campanha altamente evasiva de spear-phishing visando clientes do Office 365 em várias ondas desde julho de 2020.

A empresa também disse em março que os invasores por trás de uma operação de phishing em grande escala roubaram cerca de 400.000 credenciais do OWA e do Office 365 desde dezembro de 2020.

Os assinantes do Microsoft Defender ATP também foram alertados no final de janeiro sobre um número crescente de ataques de phishing de consentimento (também conhecido como phishing OAuth) direcionados a funcionários remotos.

 

Achou esse artigo interessante? Siga canalfsociety em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.