Um esforço conjunto dos departamentos de segurança da Cloudflare e da Microsoft levaram à interrupção de uma operação de phishing como serviço conhecida como RaccoonO365. Os cibercriminosos vendiam pacotes de ferramentas usadas em phishing, responsáveis por roubar milhares de credenciais do Microsoft 365.
- O que é phishing e como se proteger?
- Nova técnica hacker rouba senha da Microsoft através de publicidade falsa
O trabalho veio da união entre as equipes Cloudforce One e Confiança e Segurança da Cloudflare e a Unidade de Crimes Digitais (DCU) da Microsoft, e conseguiu tomar o controle de 338 sites e contas ligadas à RaccoonO365. A operação foi realizada no início deste mês de setembro.
Phishing como serviço e seus alvos
O grupo hacker responsável pelo serviço, também conhecido como Storm-2246, roubou ao menos 5.000 credenciais Microsoft de 94 países desde julho de 2024. Eles usavam os kits de phishing RaccoonO365, que juntam páginas de CAPTCHA e técnicas antibot para imitar legitimidade e evitar análise de ferramentas e profissionais de segurança.
–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–
Uma campanha em particular, tematizada em torno de impostos, mirou em 2.300 organizações nos Estados Unidos em abril deste ano, mas os mesmos kits foram aplicados em ataques a mais de 20 instituições de saúde do país. Credenciais, cookies e outros dados das contas OneDrive, SharePoint e e-mail das vítimas foram usados mais tarde em tentativas de fraude financeira, extorsão ou acesso a sistemas usados pelos usuários.
Muitas das campanhas de phishing por e-mail da RaccoonO365 precediam ataques de malware e ransomware, gerando consequências pesadas para hospitais, segundo Steven Masada, conselheiro-geral assistente da DCU da Microsoft. Serviços a pacientes podem atrasar, postergando ou cessando cuidados críticos, além de comprometer resultados de laboratório e vazar dados sensíveis. Além de perdas financeiras, isso pode ameaçar a saúde de pacientes.
O RaccoonO365 vinha alugando serviços de phishing via canais do Telegram, com mais de 840 membros em 25 de agosto deste ano. Os preços iam de US$ 335 (cerca de R$ 1.880), para planos de 30 dias, a US$ 999 (cerca de R$ 5.300) para planos de 90 dias. Tudo era pago com criptomoedas, especificamente Tether (USDT) e Bitcoin (BTC).
A Microsoft estima que o grupo tenha levantado ao menos US$ 100 mil (mais de R$ 530 mil) em criptomoedas até agora, sugerindo entre 100 e 200 planos vendidos. Descobriu-se, na operação, que o líder do RaccoonO365 é Joshua Ogundipe, residente da Nigéria. Acredita-se que hackers russos também trabalham com os cibercriminosos, já que o nome do bot do Telegram usado é na língua eslava.
Ogundipe tem histórico em programação e provavelmente foi o autor da maior parte dos códigos maliciosos. Sem querer, os hackers revelaram uma carteira de criptomoedas secreta que ajudou o DCU a atribuir sua posse e entender as operações criminosas. Acusações contra Ogundipe foram levadas a autoridades internacionais.
Veja mais:
- Geradores de site por IA viram arma de phishing na mão de hackers
- Nova técnica cria “phishing perfeito” para roubar contas do Microsoft 365
- Ataque de phishing abusa de recurso do Chrome para roubar senhas
VÍDEO | O QUE É PHISHING? SAIBA COMO SE PROTEGER! #Shorts
Leia a matéria no Canaltech.