Campanha de Phishing explora recursos do Microsoft 365 para sequestrar contas do PayPal

Uma nova campanha de phishing está explorando métodos não convencionais ao se passar pelo PayPal, induzindo usuários a realizarem login em suas contas para supostamente efetuar um pagamento. No entanto, ao fazer o login, os usuários inadvertidamente permitem que invasores assumam o controle de suas contas.

O diferencial desse ataque é o uso de um recurso legítimo do Microsoft 365: a criação de domínios de teste. Os invasores utilizam esses domínios para configurar listas de distribuição de e-mails, tornando as mensagens de solicitação de pagamento aparentemente legítimas, como se fossem enviadas diretamente pelo PayPal.

Carl Windsor, diretor de segurança da Fortinet Labs, descobriu essa campanha ao ser alvo dela, conforme relatado em um post publicado hoje.

Como o Ataque Funciona

Windsor recebeu um e-mail de um endereço do PayPal aparentemente legítimo, solicitando um pagamento de US$ 2.185,96. O remetente identificado era “Brian Oistad”, mas havia uma irregularidade: o endereço do destinatário real era Billingdepartments1[@]gkjyryfjy876.onmicrosoft.com, controlado pelos invasores.

“Esse ataque é intrigante porque não utiliza os métodos tradicionais de phishing”, escreveu Windsor. “O e-mail, os URLs e todos os outros elementos parecem completamente válidos.”

Ao clicar no link, a página de login do PayPal redireciona a vítima, exibindo uma solicitação de pagamento. Ao realizar o login, o usuário vincula sua conta ao endereço controlado pelos golpistas, permitindo que eles assumam o controle total.

Abuso de Recursos do Microsoft 365

Os criminosos exploram domínios de teste gratuitos do Microsoft 365, que podem ser usados por até três meses. Após registrar um domínio, eles criam uma lista de distribuição de e-mails contendo os endereços das vítimas. Isso permite que as mensagens enviadas passem pelas verificações de segurança padrão de e-mails.

“No portal do PayPal, os golpistas solicitam dinheiro e adicionam a lista de distribuição como destinatário”, explicou Windsor. O Microsoft 365 usa o Sender Rewrite Scheme (SRS) para reescrever o remetente, criando um endereço que passa nas verificações de autenticação como SPF, DKIM e DMARC.

Essa técnica confunde as verificações de segurança, pois os e-mails parecem vir de uma fonte legítima. Como resultado, a solicitação de pagamento é enviada sem levantar suspeitas.

O Perigo do Login

Em pânico, a vítima faz login para verificar a situação, e o endereço do golpista se vincula à conta PayPal da vítima. “O golpista então assume o controle da conta, um truque inteligente que pode passar despercebido até mesmo pelas instruções de verificação de phishing do próprio PayPal”, afirmou Windsor.

Um Novo Desafio para a Segurança de E-mails

Esse tipo de ataque destaca como o abuso de recursos legítimos pode dar aos criminosos uma vantagem furtiva. “Os e-mails enviados de uma fonte verificada seguem um modelo idêntico às mensagens legítimas do PayPal, dificultando a detecção por provedores de e-mail”, explica Elad Luz, chefe de pesquisa da Oasis Security.

Esse caso reforça a importância de medidas de segurança adicionais, como a autenticação de dois fatores (2FA), para evitar que ataques similares comprometam contas críticas.