Na campanha observada pelos especialistas forenses de Varonis, o invasor usou o PowerShell para enviar e -mails projetados para se parecer com notificações de correio de voz, que incluíram um anexo em PDF com um código QR que redirecionou os usuários para um site projetado para colher credenciais M365.
Os pesquisadores de Varonis apontaram que a campanha funciona porque não são necessários logins ou credenciais, o host inteligente aceita e -mails de qualquer fonte externa, o endereço “de” pode ser falsificado para qualquer usuário interno e o único requisito é que o destinatário seja interno à organização do cliente.
Além disso, como é roteado através da infraestrutura da Microsoft e parece estar vindo de dentro da organização, o email ignora os controles de segurança tradicionais, incluindo os próprios mecanismos de filtragem da Microsoft que o tratam como ferramentas internas para internas ou de terceiros que sinalizam mensagens suspeitas com base em padrões de autenticação, padrões de roteamento ou reputação de remetentes.
Fonte: Computer World
