Barracuda full logo

Ataques de phishing do Microsoft Direct Send explicados

Tópicos:
4 ago. 2025
|
Christine Barry

Recentemente, os analistas de segurança da Barracuda detetaram uma campanha de phishing que utiliza a funcionalidade Microsoft 365 Direct Send para contornar as funcionalidades de segurança de e-mail. Este é um ataque em larga escala que abusa de uma funcionalidade legítima do Microsoft 365 para se fazer passar por comunicações internas. Consulte o Barracuda Security Advisory e o Cybersecurity Threat Advisory para obter detalhes técnicos sobre este ataque.

Siga estes passos para confirmar que o seu Barracuda Email Gateway Defense está configurado para mitigar esta ameaça

Esta campanha de phishing apresenta um grande risco para empresas desprotegidas que utilizam o Microsoft 365. As mensagens imitam um email interno da empresa e trazem um anexo em PDF que inclui um código QR. Os destinatários são instruídos a digitalizar o código QR para que possam aceder a uma mensagem de voz.

 

Documento PDF com códigos QR, via Bleeping Computer

Documento PDF com códigos QR, via Bleeping Computer

O código QR direciona a vítima para um formulário de login falso da Microsoft, onde os agentes de ameaça capturarão as credenciais do utilizador. As credenciais roubadas serão então vendidas e/ou usadas para iniciar um ataque maior contra a empresa.

O que é o Direct Send?

O envio direto é um caminho de email aberto que permite o envio de email sem autenticação. Esta é uma funcionalidade legítima, mas de baixa segurança, da Microsoft que permite que servidores não-email enviem email. A maioria das empresas utilizaria esta funcionalidade para permitir que impressoras em rede e aplicações empresariais enviem email para um indivíduo no mesmo domínio. Pode saber mais sobre isso neste documento do Microsoft Learn.

A coisa mais importante a notar aqui é que as mensagens de Envio Direto utilizam a infraestrutura interna e não precisam passar por medidas de autorização e segurança de email. O tráfego de Envio Direto não será encaminhado através de gateways de segurança de email externos. Deve tomar ações específicas para proteger o Envio Direto no seu ambiente.

A Microsoft introduziu a funcionalidade "Rejeitar Envio Direto" em abril de 2025. Esta funcionalidade bloqueia todo o tráfego de Envio Direto e está desligada por padrão. Utilizar esta funcionalidade pode interromper funções empresariais legítimas, portanto, a Microsoft recomenda aos administradores que tenham cuidado ao ativar a funcionalidade.

Qual é o exploit?

É importante entender que isto não é uma vulnerabilidade não corrigida em nenhum sistema da Microsoft ou de terceiros. A nossa Assessoria de Ameaças de Cibersegurança cobre isto com mais detalhe:

Este ataque é particularmente preocupante devido a vários fatores:  

  • Abuso de uma Funcionalidade Legítima: O ataque aproveita uma função integrada do Microsoft 365, tornando difícil desativá-la sem interromper as operações comerciais.
  • Sem CVE Atribuído: Uma vez que isto não é uma vulnerabilidade de software, mas sim um uso indevido da funcionalidade pretendida, não possui um identificador CVE, o que complica o rastreamento e a correção.
  • Contorna a Segurança de Email: As defesas de email tradicionais que dependem de SPF, DKIM e DMARC são ineficazes contra esta tática.
  • Falsificação de Remetente Interno: Os emails parecem vir de fontes internas confiáveis, aumentando a probabilidade de interação do utilizador.
  • Exposição Generalizada: Qualquer organização que utilize Envio Direto está potencialmente em risco.

Proteja-se

É possível proteger o Direct Send sem rejeitar todo o correio enviado diretamente. Os clientes do Barracuda Email Gateway Defense podem ter protegido o Direct Send ao configurar os conectores para o Microsoft 365. Os passos para configurar a segurança do Direct Send estão em este artigo da Barracuda Campus. Este é um tutorial passo a passo que leva apenas alguns minutos para ser concluído. Pode também contactar o Suporte Barracuda para assistência.

Se não tiver a certeza absoluta de que o Direct Send foi assegurado, por favor, siga os passos no documento da Barracuda Campus ou contacte o Suporte da Barracuda.

Recursos adicionais:

Christine Barry

Christine Barry, Contadora Sénior de Histórias de Cibersegurança e Gestora de Conteúdos na Barracuda. Antes de se juntar à Barracuda, Christine foi engenheira de campo e gestora de projetos para clientes K12 e SMB durante mais de 15 anos. Possui várias credenciais em tecnologia e gestão de projetos, uma Licenciatura em Artes e um Mestrado em Administração de Empresas. É graduada pela Universidade de Michigan.

Conecte-se com a Christine no LinkedIn aqui.

 

Junte-se à nossa comunidade no Reddit!

Artigos Relacionados:
Resumo de Malware: Phishing astuto, BYOVD e RATs Android
Resumo de Malware: Phishing astuto, BYOVD e RATs Android
 Threat Spotlight: kit de phishing Tycoon revela novas técnicas para ocultar links maliciosos
Threat Spotlight: kit de phishing Tycoon revela novas técnicas para ocultar links maliciosos
 Inquérito vê declínio global nos custos de violação de dados
Inquérito vê declínio global nos custos de violação de dados
 WolfGPT: A "IA Avançada" para Malware
WolfGPT: A "IA Avançada" para Malware
Pesquisar o blogue

O Relatório de Perspetivas sobre Ransomware 2025

Principais conclusões sobre a experiência e o impacto do ransomware nas organizações em todo o mundo

Obtenha o relatório

Subscreva o Blogue Barracuda.

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Segurança de Vulnerabilidades Geridas: Remediação mais rápida, menos riscos, conformidade mais fácil

Veja como pode ser fácil encontrar as vulnerabilidades que os cibercriminosos querem explorar

ASSISTA AO WEBINAR

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.