Os pesquisadores de segurança da Microsoft descobriram uma campanha de phishing incomum que emprega páginas de erro 404 personalizadas para enganar vítimas em potencial para distribuir suas credenciais da Microsoft.
Para fazer isso, os invasores registram um domínio e, em vez de criar uma única página de destino de phishing para redirecionar suas vítimas, eles configuram uma página 404 personalizada que mostra o formulário de login falso.
Isso permite que os phishers tenham uma quantidade infinita de URLs de páginas de destino de phishing geradas com a ajuda de um único domínio registrado.
"A página 404 Not Found diz que você bateu em um link quebrado ou morto - exceto quando isso não acontece", diz a equipe de pesquisa da Microsoft.
"Os phishers estão usando páginas 404 maliciosas personalizadas para servir sites de phishing. Uma campanha de phishing direcionada à Microsoft usa essa técnica, dando aos phishers URLs de phishing virtualmente ilimitados."
Páginas de destino disfarçadas de logins da Microsoft
As páginas de erro 404 personalizadas que esses invasores usam para coletar as credenciais de suas vítimas são perfeitamente camufladas como páginas legítimas de login da conta da Microsoft, nos mínimos detalhes.
Todos os links na página de phishing, incluindo aqueles na parte inferior e aqueles usados para acessar uma conta da Microsoft e criar uma nova, estão direcionando diretamente para formulários oficiais de login da Microsoft, em um esforço para tornar os alvos menos suspeitos.
Os únicos elementos que faltam na página de phishing são o link "Opções de login" acima do botão "Avançar" e a notificação de cookies na parte superior da página.
"Como a página 404 malformada é veiculada para qualquer URL inexistente em um domínio controlado por um invasor, os phishers podem usar URLs aleatórios em suas campanhas", acrescenta Microsoft. "Também descobrimos que os invasores randomizam domínios, aumentando exponencialmente o número de URLs de phishing."
O formulário de phishing é projetado para coletar endereços de email, números de telefone ou nomes Skype da Microsoft, que são enviados para o site hotelseacliff [.] Com .
As vítimas são então redirecionadas para um formulário de login real da Microsoft, mascarado com uma URL abreviada após a coleta das credenciais.
Embora a Microsoft já tenha adicionado as URLs usadas nesta campanha à lista do Microsoft Defender SmartScreen de sites reportados de phishing, malware, exploração e fraude, o Google ainda precisa buscá-los e adicioná-los ao seu serviço de lista negra da Navegação segura.
Hospedando as páginas 404 de phishing personalizadas
Embora as páginas de erro 404 customizadas possam ser criadas usando diversos métodos e serviços diferentes, os operadores da campanha de phishing detectados pela equipe de pesquisa de segurança da Microsoft usaram o subdomínio do Firebase de aplicativo gratuito [.] Web [.]Outlookloffice365user09ngxsmd).
Um artigo de suporte no site de documentação do Firebase mostra todos os passos que se tem que percorrer para personalizar uma página 404 / Not Found, possibilitando "atender um erro 404 Not Found personalizado quando um usuário tenta acessar uma página que não existir."
Depois que tudo estiver configurado, "O Firebase Hosting exibirá o conteúdo desta página 404.html personalizada se um navegador acionar um erro 404 Not Found no seu domínio ou subdomínio."
Como mencionado anteriormente, os invasores também podem usar outra técnica de criação de páginas de destino de phishing por meio de páginas 404 Not Found personalizadas, do Amazon CloudFront, do Microsoft Azure, do Squarespace, do Weebly e muito mais.
Isso significa que cada um desses serviços pode sofrer abuso em campanhas semelhantes de phishing, sendo o Azure Storage da Microsoft o principal alvo, visto que pode ser usado para hospedagem de sites estáticos e também oferece suporte a páginas 404 personalizadas .
Os phishers já estão usando a solução de armazenamento de objetos de armazenamento do Azure Blob da Microsoft [ 1 , 2 ] para hospedar páginas de phishing, ao mesmo tempo em que aproveitam o fato de assinar automaticamente um certificado SSL da Microsoft.
Isso torna o phishing baseado no Armazenamento de Blocos do Azure o método ideal para direcionar diretamente os usuários dos serviços da Microsoft, como o Office 365, o Azure Active Directory, o Outlook e uma enorme quantidade de outros logins da Microsoft.
