Uma campanha de phishing denominada Compact coletou mais de 400 mil credenciais do Outlook Web Access e do Office 365. Segundo pesquisadores da WMC Global, a campanha utiliza domínios confiáveis para garantir a entrega de e-mails de phishing e impedir o bloqueio de páginas falsas.
Segundo a empresa de segurança, os agentes por trás da Compact aproveitaram a popularidade crescente do Zoom para atingir seus alvos. A equipe da WMC Threat Intelligence analisou o ataque, incluindo o código PHP utilizado no site, e recuperou credenciais roubadas coletadas pelos atores da ameaça. A análise vinculou endereços de e-mail aos atores responsáveis pela campanha, encontrando um histórico de ataques desde o início de 2020.
Na análise, a empresa destaca que o método de entrega era feito via isca de phishing enviada por e-mail, e os atacantes aparentemente estavam usando uma extensa lista de spam para atingir as vítimas. "Estima-se que até 11% dos usuários caiam em campanhas de phishing e, dado o tamanho desse ataque, é lógico que um grande número de usuários tenha sido vítima", diz a WMC.
A maioria dos e-mails foi enviada usando contas SendGrid comprometidas. A WMC Global informa ainda que trabalhou em estreita colaboração com o SendGrid para encerrar as contas de envio que foram restauradas aos seus legítimos proprietários. Em campanhas posteriores, os agentes da ameaça passaram a usar o MailGun para enviar os e-mails comprometidos.
A equipe do WMC Global Threat Intelligence também monitorou e detectou os sites de phishing utilizados na campanha, sendo que dois sites de destino estavam em uso entre dezembro de 2020 e janeiro de 2021. Em dezembro, a página de destino personificou a marca Outlook Web App para enganar os alvos, induzindo-os a inserir suas credenciais. Em janeiro, os ataques mudaram para imitar a marca Office 365, provavelmente para capturar mais credenciais de funcionários.
A análise detalhada da WMC Global também explica sobre as técnicas de exfiltração utilizadas.
Recommended Comments
There are no comments to display.
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.