Hackers invadiram uma das principais empresas de cibersegurança – detalhes
A organização de treinamento em segurança cibernética SANS Institute sofreu uma violação de dados depois que um de seus funcionários foi vítima de um ataque de phishing.
O SANS Institute, uma das maiores organizações que treina especialistas em segurança da informação em todo o mundo, sofreu um ataque cibernético. Os invasores obtiveram acesso aos dados do SANS depois que um de seus funcionários de RH caiu em um ataque de phishing.
Em 11 de agosto, o SANS informou que o invasor obteve acesso à conta de e-mail de um dos funcionários e configurou o redirecionamento de toda a correspondência recebida na caixa de correio atacada para outro endereço, além de instalar um complemento malicioso para o Office 365.
Como resultado, os hackers receberam 513 cartas, que continham um total de cerca de 28.000 registros de informações pessoais de membros do SANS. Essas informações não incluem senhas ou informações financeiras, como cartões de crédito. Os dados incluem endereços de e-mail, nomes completos, números de telefone, cargos, nomes de empresas e endereços físicos.
De acordo com a investigação do SANS, o ataque começou com um e-mail de phishing se passando por um arquivo supostamente enviado pelo serviço SANS SharePoint.
O arquivo se chamava "Cópia de bônus de julho 24JUL2020.xls" e o e-mail solicitava que o usuário clicasse no botão "Abrir" para acessar o arquivo.
Clicar no botão abre o navegador padrão em "https://officei6zq49rv2p5a4xbq8ge41f1enjjczo.s3.us-east-2.amazonaws[.]com/index.html", que solicita ao usuário que insira suas credenciais do Office 365.
Paralelamente, foi instalado um complemento malicioso para Microsoft Office OAuth, chamado Enable4Excel.
Uma vez instalado, ele adiciona uma nova regra de encaminhamento chamada Regra Anti-Spam que monitora palavras-chave específicas em e-mails. Se uma palavra-chave correspondente for encontrada no e-mail, ela será redirecionada para o endereço externo daemon[@]daemongr5yenh53ci0w6cjbbh1gy1l61fxpd.com.
Aqui está uma lista de palavras-chave monitoradas:
agreement
Bank
bic
capital call
cash
Contribution
dividend
fund
iban
Payment
purchase
shares
swift
transfer
Wire
wiring infoCom base nas informações do VirusTotal, a campanha de phishing foi realizada em 24 de julho de 2020. O SANS não era o único alvo, pelo menos duas outras empresas enviaram e-mails semelhantes para o VirusTotal.