Microsoft e Cloudflare derrubam "fábrica" de golpes de phishing
Um esforço conjunto dos departamentos de segurança da Cloudflare e da Microsoft levaram à interrupção de uma operação de phishing como serviço conhecida como RaccoonO365. Os cibercriminosos vendiam pacotes de ferramentas usadas em phishing, responsáveis por roubar milhares de credenciais do Microsoft 365. O que é phishing e como se proteger? Nova técnica hacker rouba senha da Microsoft através de publicidade falsa O trabalho veio da união entre as equipes Cloudforce One e Confiança e Segurança da Cloudflare e a Unidade de Crimes Digitais (DCU) da Microsoft, e conseguiu tomar o controle de 338 sites e contas ligadas à RaccoonO365. A operação foi realizada no início deste mês de setembro. Phishing como serviço e seus alvos O grupo hacker responsável pelo serviço, também conhecido como Storm-2246, roubou ao menos 5.000 credenciais Microsoft de 94 países desde julho de 2024. Eles usavam os kits de phishing RaccoonO365, que juntam páginas de CAPTCHA e técnicas antibot para imitar legitimidade e evitar análise de ferramentas e profissionais de segurança. -Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.- A campanha de venda de serviços de phishing incluía CAPTCHAS e ferramentas para evitar a detecção por antivírus e profissionais de segurança, levantando centenas de milhares de dólares (Imagem: Mohamed Hassan/PxHere/Domínio Público) Uma campanha em particular, tematizada em torno de impostos, mirou em 2.300 organizações nos Estados Unidos em abril deste ano, mas os mesmos kits foram aplicados em ataques a mais de 20 instituições de saúde do país. Credenciais, cookies e outros dados das contas OneDrive, SharePoint e e-mail das vítimas foram usados mais tarde em tentativas de fraude financeira, extorsão ou acesso a sistemas usados pelos usuários. Muitas das campanhas de phishing por e-mail da RaccoonO365 precediam ataques de malware e ransomware, gerando consequências pesadas para hospitais, segundo Steven Masada, conselheiro-geral assistente da DCU da Microsoft. Serviços a pacientes podem atrasar, postergando ou cessando cuidados críticos, além de comprometer resultados de laboratório e vazar dados sensíveis. Além de perdas financeiras, isso pode ameaçar a saúde de pacientes. O RaccoonO365 vinha alugando serviços de phishing via canais do Telegram, com mais de 840 membros em 25 de agosto deste ano. Os preços iam de US$ 335 (cerca de R$ 1.880), para planos de 30 dias, a US$ 999 (cerca de R$ 5.300) para planos de 90 dias. Tudo era pago com criptomoedas, especificamente Tether (USDT) e Bitcoin (BTC). A Microsoft estima que o grupo tenha levantado ao menos US$ 100 mil (mais de R$ 530 mil) em criptomoedas até agora, sugerindo entre 100 e 200 planos vendidos. Descobriu-se, na operação, que o líder do RaccoonO365 é Joshua Ogundipe, residente da Nigéria. Acredita-se que hackers russos também trabalham com os cibercriminosos, já que o nome do bot do Telegram usado é na língua eslava. Ogundipe tem histórico em programação e provavelmente foi o autor da maior parte dos códigos maliciosos. Sem querer, os hackers revelaram uma carteira de criptomoedas secreta que ajudou o DCU a atribuir sua posse e entender as operações criminosas. Acusações contra Ogundipe foram levadas a autoridades internacionais. Veja mais: Geradores de site por IA viram arma de phishing na mão de hackers Nova técnica cria "phishing perfeito" para roubar contas do Microsoft 365 Ataque de phishing abusa de recurso do Chrome para roubar senhas VÍDEO | O QUE É PHISHING? SAIBA COMO SE PROTEGER! #Shorts Leia a matéria no Canaltech.