E-mails de ‘atualização’ do Windows 7 roubam credenciais do Outlook
Os pesquisadores alertam sobre e-mails que pretendem ajudar os funcionários da empresa a atualizar para o Windows 10 – e depois roubam seus e-mails e senhas do Outlook.
Um ataque de phishing contínuo pressiona os funcionários da empresa a atualizar seus sistemas Windows 7 – mas, na realidade, eles são redirecionados para uma página de login falsa do Outlook que rouba suas credenciais.
O Windows 7 atingiu o fim da vida (EOL) em 14 de janeiro, com a Microsoft pedindo às empresas que atualizem seu sistema operacional Windows 10. Embora o Windows 10 tenha sido lançado em 2015, as dores de atualizar as máquinas dos usuários finais significam que muitas empresas estão ficando para trás nas atualizações.
“Isso explica por que as empresas esperam, às vezes anos, antes de mergulhar”, disse Kaleb Kirk, pesquisador da Cofense em uma análise de sexta-feira . “Infelizmente, esses atrasos dão aos bandidos tempo para refinar as técnicas de exploração em sistemas operacionais mais antigos, sem a arquitetura mais recente.”
Os e-mails de phishing em questão, intitulados “Re: Microsoft Windows Upgrade”, usam o prefixo “re”, que, segundo os pesquisadores, pode instilar um senso de urgência ao levar o usuário a acreditar que perdeu uma comunicação anterior sobre a atualização.
O e-mail informa aos destinatários: “Seu computador Office Windows está desatualizado e uma atualização está programada para substituição hoje” e inclui uma programação (note que algumas letras maiúsculas e espaçamentos estranhos são utilizados, servindo como sinalizadores de que o e-mail não é legítimo). Abaixo, ele informa aos usuários: “Para atualizar o Windows 10, abra o navegador no site do projeto de atualização do Windows 10”, apontando para um URL. Esse link leva o destinatário à página de destino de phishing.
Email de phishing de atualização do Windows 7. Crédito: Cofense
Abaixo do URL, os e-mails incluíam detalhes adicionais informando ao usuário o que ele pode esperar do processo de atualização e uma lista codificada por cores com itens como: “Rastreador de sintomas de funcionários COVID-19”, “acessar seus recibos de pagamento e P60s” e “ acessar o novo diretório de pessoal. ”
Uma falha no e-mail de phishing é que a linha “De:” mostra uma conta comprometida intitulada “Genadiy”, que pode servir como um sinal de alerta para a vítima pretendida, já que não é do departamento de TI do domínio da empresa. Os pesquisadores disseram que o esquema de phishing seria mais verossímil se o remetente fosse mais genérico, como “Helpdesk”.
“Damos a esse ator ameaçador duas estrelas douradas pela mesa com laptops inventados, números de série falsos, prédio etc.”, disse Kirk. “Ele aplica um estratagema de bom senso de urgência usando o destaque ‘Hoje’ [destacado na tabela, como visto na imagem à esquerda] e o corpo não tem erros gramaticais ou ortográficos óbvios. Novamente, não completamente horrível. ”
Se os destinatários clicarem na URL do e-mail, eles serão direcionados à página inicial de phishing, que parece ser uma página de login do Outlook Web App (OWA) solicitando seu endereço de e-mail, domínio / nome de usuário e senha.
No entanto, é aqui que o esquema de phishing parece desmoronar. Os pesquisadores dizem que a página “recebe um D- por falta de esforço”, enfatizando que os invasores “desperdiçaram um certificado SSL válido em uma versão terrível de uma página de login do OWA”.
Página inicial de phishing de atualização do Windows 7. Crédito: Cofense
Se os destinatários optarem por ignorar as bandeiras vermelhas em torno dessa página falsa de login do Outlook e inserir suas credenciais, eles serão redirecionados para a página da Microsoft sobre o suporte descontinuado do Windows 7.
Os pesquisadores disseram que há muito tempo os emails de phishing dependem de atualizações e iscas temáticas. Em abril, uma campanha de phishing atraiu as vítimas com um comunicado de segurança reciclado da Cisco que alertava sobre uma vulnerabilidade crítica . A campanha exortou as vítimas a “atualizarem”, apenas para roubar suas credenciais para a plataforma de conferência web Webex da Cisco.
No entanto, com o Windows 7 encerrando o suporte oficial, as empresas podem esperar um aumento com versões melhores e mais sofisticadas desse tipo de ataque de phishing, disseram.
“Analisamos e-mails de phishing que contornam os gateways comerciais o dia todo, todos os dias”, disse Kirk. “A maioria deles é batida rapidamente. Esta isca precisa ser melhorada, mas não é completamente horrível…. Veremos um aumento nesta isca de phishing? Vai depender da taxa de sucesso deste tema. O tempo vai dizer.”
