Os pesquisadores de segurança de e-mail da Software de ponto de verificação acabam de descobrir uma campanha de phishing na qual os caçadores se passam por serviços de compartilhamento de arquivos e de assinatura eletrônica para distribuir iscas com temas financeiros que têm a aparência de notificações legítimas: nas últimas duas semanas, os cibercriminosos já enviaram mais de 40.000 e-mails com esse phishing, direcionados aproximadamente a 6.100 empresas ao redor do mundo. Todos os links maliciosos foram direcionados por meio do endereço (hxxps(:)//url(.)za(.)m(.)mimecastprotect(.)com)aumentando a confiança ao imitar fluxos de redirecionamento já conhecidos.
Os cibercriminosos exploraram o recurso de reescrita de links seguros do Mimecast, usando-o como uma cortina de fumaça para que seus links parecessem legítimos e autenticados. Como o Mimecast Protect é um domínio confiável, essa técnica permite que URLs maliciosas evitem os filtros automatizados e reduzam a desconfiança dos usuários.
Para ampliar a colaboração, os e-mails copiaram elementos visuais dos serviços (logos da Microsoft e de produtos Office), receberam cabeçalhos e rodapés no estilo do serviço e botões “revisar Documento”, além de falsificarem nomes de exibição como “X via SharePoint (Online)”, “eSignDoc via Y” e “SharePoint”, combinando de perto com padrões autênticos de notificação.
Paralelamente à grande campanha envolvendo o MS SharePoint e serviços de assinatura, os pesquisadores também identificaram uma operação menor, porém relacionada, que imita notificações do DocuSign. Assim como o ataque principal, tal operação imita uma plataforma SaaS confiável e utiliza infraestrutura legítima de redirecionamento, mas a técnica usada para mascarar o destino malicioso é significativamente diferente.
Na campanha principal, o redirecionamento secundário funciona como um redirecionamento aberto, deixando uma URL final de phishing visível na sequência de consulta, mesmo estando envelopada por serviços confidenciais. Na variante com tema da DocuSign, o link passa por uma URL do Bitdefender GravityZone e depois pelo serviço de rastreamento de cliques da Intercom, com a verdadeira página de destino totalmente descoberta atrás de um redirecionamento com identificação exclusiva. Essa abordagem completamente a URL final, tornando uma variante que imita o DocuSign ainda mais camuflada e difícil de ser detectada.
| Clique para baixar |
| Imagem 1: Exemplo de um e-mail de phishing interceptado por pesquisadores da Check Point Software |
| Clique para baixar |
 Imagem 2: Exemplo de e-mail de phishing da variante com tema DocuSign usado na campanha |
A campanha mirou majoritariamente organizações nos Estados Unidos, Europa, Canadá, Ásia-Pacífico e Oriente Médio (a América Latina ficou fora do recorte por apresentar volume considerado irrelevante pelos pesquisadores). O foco principal recaiu sobre consultoria, tecnologia e construção/imobiliário, mas houve impacto adicional em saúde, finanças, produção, mídia e marketing, transporte e logística, energia, educação, varejo, hospedagem e viagens, além do setor público.
Esses setores são alvos interessantes porque rotineiramente trocam contratos, faturas e outros documentos transacionais, tornando iscas que imitam compartilhamento de arquivos e assinatura eletrônica altamente convincentes e mais propensas a ter sucesso.
Dados da telemetria da solução Check Point Harmony Email mostraram que mais de 40.000 e-mails de phishing foram direcionados a aproximadamente 6.100 empresas nas últimas duas semanas e a distribuição por região é a seguinte:
Estados Unidos: 34.057
Europa: 4.525
Canadá: 767
Ásia: 346
Austrália: 267
Oriente Médio: 256
Observação: A distribuição regional reflete onde os dados dessas empresas estão hospedados na infraestrutura da Check Point Software, e não necessariamente sua localização física.
Os pesquisadores já sabiam campanhas documentadas semelhantes de phishing nos anos anteriores, mas o diferencial deste ataque é mostrar como os cibercriminosos proporcionam reprodução com facilidade serviços confiáveis de compartilhamento de arquivos para enganar usuários, reforçando a necessidade de vigilância constante, especialmente quando e-mails trazem links clicáveis, envios duvidosos ou conteúdo fora do padrão no corpo da mensagem.
Orientações de proteção para empresas e usuários finais
As organizações e os indivíduos também devem tomar medidas proativas para reduzir riscos. Algumas formas de proteção incluem:
- Trate sempre com cautela links incorporados em e-mails, principalmente quando forem inesperados ou transmitirem senso de urgência.
- Preste muita atenção aos detalhes do e-mail, como discrepâncias entre o nome exibido e o endereço real do remetente, inconsistências na formatação, tamanhos de fonte exclusivos, logotipos ou imagens de baixa qualidade e qualquer coisa que pareça fora do comum.
- Passe o mouse sobre os links antes de clicar para funcionar o destino real e garantir que ele corresponda ao serviço que completou a mensagem.
- Abra o serviço diretamente no navegador e adquira o documento por conta própria, em vez de clicar nos links enviados por e-mail.
- Educar funcionários/colaboradores e equipes regularmente sobre novas técnicas de phishing para que entendam como padrões suspeitos se apresentam.
- Usar soluções de segurança como detecção de ameaças por e-mail, mecanismos antiphishing, filtragem de URLs e ferramentas de reporte pelo usuário para fortalecer a proteção geral.
