Recentemente, chegou à CpC uma variante de um email de phishing que – não sendo propriamente original – mereceu alguma atenção de nossa parte:

“From: Pitia Jovanović-Matić

Sent: Thursday, August 7, 2025 9:41:53 AM (UTC+00:00) Dublin, Edinburgh, Lisbon, London

To: Pitia Jovanović-Matić

Subject: Re: Suporte de TI.

Estamos a atualizar todas as contas ativas do Outlook OWA. Para atualizar automaticamente, deve iniciá-lo manualmente acedendo ao portal web do Outlook. A atualização entrará em vigor de 7 a 11 de agosto de 2025.

Todas as contas do Outlook não atualizadas durante este período serão classificadas como inativas, o que poderá resultar na sua desativação ou encerramento.

Atenciosamente,

Suporte de TI.

—– Pravne napomene —–
Ova elektronička poruka i njeni prilozi mogu sadržavati povlaštene i/ili povjerljive informacije. Molimo Vas da poruku ne čitate ako niste njen naznačeni primatelj. Ako ste ovu poruku primili greškom, molimo Vas da o tome obavijestite pošiljatelja i da izvornu poruku i njene privitke uništite bez čitanja ili bilo kakvog pohranjivanja. Svaka neovlaštena upotreba, distribucija, reprodukcija ili priopćavanje ove poruke zabranjena je. Gavrilović d.o.o. ne preuzima odgovornost za sadržaj ove poruke, odnosno za posljedice radnji koje bi proizašle iz proslijeđenih informacija, a stajališta izražena u ovoj poruci ne odražavaju nužno službena stajališta Gavrilović d.o.o. S obzirom na nepostojanje potpune sigurnosti e-mail komunikacije, Gavrilović d.o.o. ne preuzima odgovornost za eventualnu štetu nastalu uslijed zaraženosti e-mail poruke virusom ili drugim štetnim programom, neovlaštene interferencije, pogrešne ili zakašnjele dostave poruke uslijed tehničkih problema. Gavrilović d.o.o. zadržava pravo nadziranja i pohranjivanja dolaznih i odlaznih e-mail poruka.
—– Disclaimer of liability—–
This e-mail message and its attachments may contain privileged and/or confidential information. Please do not read the message if You are not its designated recipient. If You have received this message by mistake, please inform its sender and destroy the original message and its attachments without reading or storing of any kind. Any unauthorized use, distribution, reproduction or publication of this message is forbidden. Gavrilović d.o.o. is neither responsible for the contents of this message, nor for the consequences arising from actions based on the forwarded information, nor do opinions contained within this message necessarily reflect the official opinions of Gavrilović d.o.o. Considering the lack of complete security of e-mail communication, Gavrilović d.o.o. is not responsible for the potential damage created due to infection of an e-mail message with a virus or other malicious program, unauthorized interference, erroneous or delayed delivery of the message due to technical problems. Gavrilović d.o.o. reserves the right to supervise and store both incoming and outgoing e-mail messages.

Molimo da ne printate ovu poruku ako za to ne postoji opravdan razlog.

Think before you print!

— 

O Malware deste email foi verificado pelo sistema de controlo Informático interno”

1. A primeira observação é que – por incúria do autor da campanha de Phishing – a mensagem chegou com uma assinatura automática em servocroata o que expôe a nacionalidade do autor(es) da campanha: Croácia ou da Bósnia-Herzegovina. 

2. 

Link malicioso:
https://<editado&gt;mettatrust.wearedesigners.net/owa-auth-logon.aspx/index.html
não era reconhecido pela maioria dos fabricantes de antivírus como sendo malware. A esse respeito apenas a Webroot o identificava correctamente como “Malicious”.

3. O mail era, claramente, um phishing disfarçado de aviso de actualização do Outlook/OWA, mas na verdade direciona para um domínio comprometido hospedando uma página falsa de login.

a) Domínio suspeito: O link real não é outlook.com nem nenhum domínio Microsoft e aponta para –editado-mettatrust.wearedesigners.net/owa-auth-logon.aspx/index.html

Esse “wearedesigners.net” é irrelevante para a Microsoft e foi comprometido por terceiros.
b) O endereço IP (181.224.133.130): pertence a um alojador não a servidores oficiais da Microsoft/Outlook.
c) Conteúdo mascarado: os metadados HTML apontam para um tema de e-commerce japonês de gatos (“猫舎道楽堂本舗”), algo totalmente alheio ao Outlook: um truque conhecido para confundir scanners automáticos.

Em suma:A página deve ser um phishing kit de OWA/Office 365, recolhendo credenciais e possivelmente ativando scripts adicionais para roubo de sessão ou instalação de malware.