O ataque se destaca por ser uma campanha de phishing em que os cibercriminosos se passam por serviços de compartilhamento
O mundo hiperconectado facilitou como nunca a troca de documentos, a aprovação de transações e a conclusão de fluxos financeiros críticos com um clique. Plataformas de compartilhamento digital e de assinatura eletrônica, amplamente usadas em bancos, no mercado imobiliário, no setor de seguros e nas operações corporativas, tornaram-se essenciais para a agilidade das organizações modernas. Contudo, essa mesma conveniência abre espaço para a ação de cibercriminosos.
Os pesquisadores de segurança de e-mail da Check Point Software acabam de descobrir uma campanha de phishing em que atacantes se passam por serviços de compartilhamento de arquivos e assinatura eletrônica para distribuir iscas com tema financeiro parecendo notificações legítimas.
Neste ataque, os cibercriminosos enviaram mais de 40.000 e-mails de phishing direcionados a aproximadamente 6.100 empresas ao redor do mundo nas últimas duas semanas. Todos os links maliciosos foram direcionados por meio do endereço [https[:]//url[.]za[.]m[.]mimecastprotect[.]com], aumentando a confiança ao imitar fluxos de redirecionamento já conhecidos.
Funcionamento da campanha
Neste ataque global, os cibercriminosos exploraram o recurso de reescrita de links seguros da Mimecast, usando-o como uma cortina de fumaça para que seus links parecessem legítimos e autenticados. Como o Mimecast Protect é um domínio confiável, essa técnica permite que URLs maliciosas evitem os filtros automatizados e reduzam a desconfiança dos usuários.
Para ampliar a credibilidade, os e-mails copiaram visuais oficiais dos serviços (logos da Microsoft e de produtos Office), usaram cabeçalhos e rodapés no estilo do serviço e botões “revisar Documento”, além de falsificarem nomes de exibição como “X via SharePoint (Online)”, “eSignDoc via Y” e “SharePoint”, combinando de perto com padrões autênticos de notificação.
Variação relacionada: phishing estilo DocuSign usando um método de redirecionamento diferente
Paralelamente à grande campanha envolvendo o MS SharePoint e serviços de assinatura, os pesquisadores também identificaram uma operação menor, porém relacionada, que imita notificações do DocuSign.
Assim como o ataque principal, tal operação imita uma plataforma SaaS confiável e utiliza infraestrutura legítima de redirecionamento, mas a técnica usada para mascarar o destino malicioso é significativamente diferente.
Na campanha principal, o redirecionamento secundário funciona como um redirecionamento aberto, deixando a URL final de phishing visível na sequência de consulta, mesmo estando envelopada por serviços considerados confiáveis.
Na variante com tema da DocuSign, o link passa por uma URL do Bitdefender GravityZone e depois pelo serviço de rastreamento de cliques da Intercom, com a verdadeira página de destino totalmente encoberta atrás de um redirecionamento com identificação exclusiva. Essa abordagem oculta completamente a URL final, tornando a variante que imita o DocuSign ainda mais camuflada e difícil de ser detectada.
Escala e padrões da campanha
A campanha mirou majoritariamente organizações nos Estados Unidos, Europa, Canadá, Ásia-Pacífico e Oriente Médio (a América Latina ficou fora do recorte por apresentar volume considerado irrelevante pelos pesquisadores).
O foco principal recaiu sobre consultoria, tecnologia e construção/imobiliário, mas houve impacto adicional em saúde, finanças, manufatura, mídia e marketing, transporte e logística, energia, educação, varejo, hospedagem e viagens, além do setor público.
Esses setores são alvos atraentes porque rotineiramente trocam contratos, faturas e outros documentos transacionais, tornando iscas que imitam compartilhamento de arquivos e assinatura eletrônica altamente convincentes e mais propensas a ter sucesso.
Dados da telemetria da solução Check Point Harmony Email mostraram que mais de 40.000 e-mails de phishing foram direcionados a aproximadamente 6.100 empresas nas últimas duas semanas e a distribuição por região é a seguinte:
- Estados Unidos: 34.057
- Europa: 4.525
- Canadá: 767
- Ásia: 346
- Austrália: 267
- Oriente Médio: 256
Observação: A distribuição regional reflete onde os dados dessas empresas estão hospedados na infraestrutura da Check Point Software, e não necessariamente sua localização física.
Os pesquisadores já haviam documentado campanhas semelhantes de phishing em anos anteriores, mas o diferencial deste ataque é mostrar como os cibercriminosos conseguem reproduzir com facilidade serviços confiáveis de compartilhamento de arquivos para enganar usuários, reforçando a necessidade de vigilância constante, sobretudo quando e-mails trazem links clicáveis, remetentes duvidosos ou conteúdo fora do padrão no corpo da mensagem.
Orientações de proteção para empresas e usuários finais
As organizações e os indivíduos também devem tomar medidas proativas para reduzir riscos. Algumas formas de se proteger incluem:
- Trate sempre com cautela links incorporados em e-mails, sobretudo quando forem inesperados ou transmitirem senso de urgência.
- Prestar muita atenção aos detalhes do e-mail, como discrepâncias entre o nome exibido e o endereço real do remetente, inconsistências na formatação, tamanhos de fonte incomuns, logos ou imagens de baixa qualidade e qualquer coisa que pareça fora do comum.
- Passar o mouse sobre os links antes de clicar para inspecionar o destino real e garantir que ele corresponda ao serviço que supostamente enviou a mensagem.
- Abra o serviço diretamente no navegador e procure o documento por conta própria, em vez de clicar em links enviados por e-mail.
- Educar funcionários/colaboradores e equipes regularmente sobre novas técnicas de phishing para que entendam como padrões suspeitos se apresentam.
- Usar soluções de segurança como detecção de ameaças por e-mail, mecanismos antiphishing, filtragem de URLs e ferramentas de reporte pelo usuário para fortalecer a proteção geral.
Sobre a Check Point Software Technologies Ltd.
A Check Point Software Technologies Ltd é protagonista na proteção da confiança digital (digital trust), utilizando soluções de segurança cibernética com tecnologia de IA para proteger mais de 100.000 organizações em todo o mundo. Por meio de sua Plataforma Infinity e de um ecossistema aberto, a abordagem de prevenção em primeiro lugar da Check Point Software oferece eficácia de segurança líder do setor, reduzindo riscos. Empregando uma arquitetura de rede de malha (mesh) híbrida com SASE como núcleo, a Plataforma Infinity unifica o gerenciamento de ambientes locais, na nuvem e em ambientes de trabalho, oferecendo flexibilidade, simplicidade e escala para empresas e provedores de serviços.
CLM Awards 2025 celebra excelência em tecnologia e relacionamento no Jockey Clube de São Paulo
Rockwell Automation lidera adequação industrial à nova era de cibersegurança regulatória
Norton alerta sobre os perigos do roubo de identidade
O Crypto ID conecta tecnologia, regulação voltada à segurança da informação com inteligência editorial porque acreditamos no poder da informação bem posicionada para orientar decisões.
Conheça a coluna Cibersegurança.
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!
