Os pesquisadores da Forcepoint divulgaram uma nova corrente de ataques que envolve o OneDrive for Business da Microsoft. Os cibercriminosos estão hospedando malware no serviço para atacar links em e-mails que são enviados aos usuários.
Os pesquisadores dizem que:
(...) os cibercriminosos começaram a utilizar contas comprometidas do OneDrive for Business para hospedar malware desde pelo menos agosto deste ano. One Drive for Business é um serviço pago da Microsoft para empresas onde os funcionários podem armazenar e compartilhar arquivos. Cada funcionário registrado tem um URL pessoal chamado “Meu site” onde os arquivos relacionados ao trabalho podem ser carregados e compartilhados, mesmo para partes externas. O seguinte mostra o formato de um URL do meu site:
- https://{nome de domínio comercial}-my.sharepoint.com/personal/{nome de usuário do funcionário}_{nome de domínio comercial}/
Contas do MySite de funcionários comprometidas e implantadas para fazer upload de malware
Os links de download gerados são adicionados em campanhas de mala direta. Aqui está um exemplo de um e-mail:
É óbvio que um domínio da Microsoft é aproveitado porque parece confiável e os usuários confiariam nos links e continuariam com o download dos arquivos anexados.
Pesquisadores de segurança dizem que o malware distribuído nesta campanha vem de famílias como Dridex e Ursnif, ou dois grandes Trojans bancários. Os anexos são distribuídos na forma de arquivos executáveis ou arquivos com um downloader JavaScript dentro. atualmente, usuários na Austrália e no Reino Unido estão sendo visados, mas outros países também podem ser adicionados.
relacionado: Mesmo Cyber-Gang Atrás Dridex, Locky e CryptoWall
Contudo, pesquisadores não conseguiram concluir como os invasores conseguiram comprometer contas do OneDrive for Business. Este novo tipo de ataque seguido pela distribuição de malware mostra apenas que não apenas os usuários domésticos em risco, mas também as empresas.
Esses ataques podem ser extremamente prejudiciais para as empresas, já que hackers podem obter acesso a dados privados armazenados em contas comerciais. O acesso a vários ativos e contatos de negócios também é altamente possível, pesquisadores alertam.
A conclusão
Ataques a serviços de armazenamento em nuvem online são uma forma muito eficaz de os criminosos cibernéticos espalharem malware. Como essa tática de ataque já está sendo reconhecida como um modelo repetitivo, os cibercriminosos estão definitivamente procurando por novas implantações de engenharia social para garantir o sucesso de suas tentativas.
O abuso do serviço Microsoft OneDrive for Business pode ajudá-los neste caso. Por ser um serviço conhecido para empresas, links de download maliciosos hospedados por tal plataforma adiciona uma camada de “Confiar em” para possíveis vítimas ao baixar um arquivo desconhecido.
relacionado: Virlock Ransoware aproveita a nuvem para infectar mais usuários
Como sempre, os usuários não devem abrir nenhum e-mail suspeito de remetentes desconhecidos. E eles devem ter uma solução anti-malware forte instalada em seus sistemas. Além disso, as empresas não devem subestimar o valor da educação em segurança cibernética. A implantação dessa educação é crucial nas empresas modernas.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: