Microsoft Azure
Foi observado que um ataque de phishing mais recente no Office 365 está usando um ataque de phishing que aparentemente utiliza uma técnica diferente e bastante interessante de armazenar sua forma de phishing que está sendo hospedada no Armazenamento de Blog do Azure, Biping Computer reportado.
O Azure Blob Storage é uma solução de armazenamento da Microsoft que pode ser utilizada para armazenamento de dados não estruturados, como vídeo, imagens e texto. Um dos principais benefícios do armazenamento de Blob do Azure é que ele pode ser acessado por HTTPS e HTTP. Ao se conectar por meio de HTTPS, ele mostrará um certificado SSL assinado pela Microsoft. O novo ataque de phishing armazena o formulário de phishing no Armazenamento de Blob do Azure, que irá naturalmente garantir que o formulário exibido seja assinado por um certificado SSL obtido da Microsoft. Desse modo, ele cria um método exclusivo de formulários de phishing que tem como alvo serviços da Microsoft como Azure AD, Office 365 e outros logins semelhantes da Microsoft.
Uma recente descoberta semelhante foi feita pela Netskope, que mostrou que, por meio desse método inovador, os malfeitores estão distribuindo e-mails de spam com anexos em PDF que fingem ter sido enviados por um formulário da lei de Denver. Esses anexos são nomeados como “Documento digitalizado ... Revise.pdf”. Eles contêm um botão simples para baixar um PDF falso de um suposto documento digitalizado. Conforme os usuários clicam neste link PDF, eles são levados a uma página HTML que finge ser um formulário de login do Office 365 que é armazenado na solução de armazenamento de Blob do Microsoft Azure. Como essa página também está sendo hospedada por um serviço da Microsoft, ela tem a vantagem adicional de ser um site com um certificado SSL seguro. Se a URL estranha surpreender os usuários, o certificado SSL assinado os convencerá de que foi emitido pelo Microsoft IT TLS CA 5.
Certificado SSL assinado - Computador adormecido
O usuário ao inserir suas informações, o conteúdo será submetido a um servidor que está sendo operado por atacantes de phishing. A página aberta fingirá que o download do documento está começando, mas, em última análise, apenas redireciona o usuário para este URL: https://products.office.com/en-us/sharepoint/collaboration Site da Microsoft.
Biping Computer reports que a Netskope recomendou que as empresas instruíssem adequadamente seus usuários para que pudessem reconhecer qualquer endereço de página da Web fora do padrão.
