Publicadas na Internet milhares de passwords roubadas

A Check Point Research e a Otorio descobriram uma campanha de phishing de larga escala onde os atacantes deixaram de forma inadvertida credenciais roubadas acessíveis ao público. A campanha de phishing começou em agosto do ano passado com e-mails mascarados por notificações de digitalizações Xerox.

Os e-mails levavam os utilizadores a abrir um ficheiro HTML malicioso em anexo que passava os filtros do Microsoft Office 365 Advanced Threat Protection (ATP). Mais de mil credenciais corporativas de colaboradores foram roubadas. Os atacantes guardaram as credenciais roubadas em páginas web nos servidores comprometidos. A Google, que indexa constantemente a Internet, também indexou essas pretensas páginas web. Com isto, as credenciais roubadas ficaram disponíveis publicamente para quem quisesse pesquisar por endereços de email roubados na Google. Dito de outra forma, com uma simples pesquisa na Google, qualquer pessoa poderia ter encontrado a password de um dos endereços de e-mail comprometido.

Segundo a Otorio e a Check Point, a metodologia do ataque consistia, primeiro, nos atacantes a começar por enviar um e-mail de phishing malicioso a potenciais vítimas, com um ficheiro HTML em anexo. Depois, ao clicarem no ficheiro HTML, as vítimas são levados a uma página de login semelhante à das marcas populares, no caso da Xerox. De seguida, as passwords e endereços de e-mail das vítimas que caíram no ataque de phishing são enviados e guardados nos servidores comprometidos num ficheiro de texto. Por fim, enquanto permanecem nos servidores comprometidos, à espera que os hackers os recolham, a Google, que monitoriza a Internet constantemente, indexa os ficheiros de texto desses servidores e torna-os disponíveis através do motor de pesquisa da Google.

“Tendemos a acreditar que quando alguém rouba as nossas passwords, o pior cenário é que essa informação seja usada pelos hackers que seja trocada entre si na dark net. Não foi o que aconteceu neste caso. Aqui, qualquer pessoa tem acesso à informação roubada. A estratégia dos atacantes era guardar a informação roubada numa página web criada por eles. Assim, passado algum tempo das campanhas de phishing estarem a correr, os atacantes podem monitorizar os servidores comprometidos em busca das respetivas páginas web e coligir as credenciais roubadas. Os atacantes não pensaram que se eles conseguiriam monitorizar a internet em busca dessas páginas, também a Google. Esta foi claramente uma operação de segurança falhada por parte dos atacantes”, afirma Lotem Finkelsteen, Head of Threat Intelligence da Check Point Software.