Reading Time: 2 minutes
Está em curso uma nova campanha de phishing envolvendo a gigante tecnológica Microsoft.

As campanhas de phishing são o meio mais eficaz de fazer chegar conteúdo malicioso aos utilizadores. Este tipo de campanhas são utilizadas para entregar malware ou p.ex., para roubo de informação como acontece neste caso em especial.

Campanhas de phishing solicitando a alteração das palavras-passe dos utilizadores no portal da Microsoft não são novas. Atualmente está em curso uma nova vaga.

microsoft

Desta vez os malfeitores estão a utilizar o domínio micrsftonline[.]com, criado em 10 de setembro de 2018 mas atualizado há poucos dias, a 02 de abril de 2019; provavelmente com o intuito de alavancar esta campanha.

O servidor utilizado parece ser um shared-host e utilizado em inúmeras campanhas de phishing desta natureza. É possível verificar que também esteve disponível outro DNS suspeito neste mesmo servidor: microsoftonline[.]com[.]es. Nesse caso, provavelmente criado para ser direcionado a utilizadores de Espanha.

No caso reportado a Segurança Informática, o email de phishing foi recebido na  terça-feira, 2 de abril de 2019 20:52 e foi enviado pelos malfeitores do email malicioso: Online Services Team <[email protected][.]com> e com o assunto: New or modified user account information.

Como forma de levar as vítimas a clicar na URL maliciosa disponibilizada no corpo do email, os criminosos deixam a mensagem que se a palavra-passe não for atualizada a conta poderá ficar inativa — um simples passo e que leva alguns utilizadores a prosseguir com o processo de alteração de password falso.

microsoft3

 

A URL maliciosa está por trás da URL legítima: https://portal.office[.]com.

https://click.email.micorsftnonline.com/?mfa=dGVzdGVAdGVzdGUuY29t==

 

O parâmetro mfa é responsável por enviar ao servidor o email da vítima codificado em base64 (‘mfa=dGVzdGVAdGVzdGUuY29t==’, => [email protected]).

Com este truque os criminosos conseguem manter o tracking da vítima e também fazer a associação utilizador/password introduzida no sistema falso com a geolocalização da vítima.

microsoft4.png

 

A landing page para recolher os dados dos utilizadores já foi removida entretanto pela equipa de IT do servidor onde a campanha estava alojada.

No entanto, pode ser observado que o domínio utilizado pelos criminosos possui um certificado digital associado à CA Sectigo — o novo brand da COMODO — e que tem sido utilizado amplamente por autores de malware para assinar código através de certificados ‘Code signing‘.

sectigo

Os utilizadores devem ter especial atenção a emails desta linha e dúvidar sempre da legítimidade de emails onde é solicitada a modificação da sua palavra-passe sob pena da conta ser permanentemente bloqueada.