Apresentação

No dia 14 de abril de 2025, às 15h54 UTC, surgiu um relato de que usuários estavam recebendo spams que se originavam do domínio sophos.com. Assim que foi informada, a equipe do Sophos Internal Detection and Response começou a investigar o fato.

Nossa investigação constatou que estavam sendo usadas contas de avaliação para explorar um lapso na lógica de como o Sophos Email valida se os remetentes estão ou não autorizados a retransmitir através do nosso serviço de e-mail na nuvem.

Nossa equipe agiu imediatamente e bloqueou as contas e IPs envolvidos no abuso durante a investigação de como os hackers foram capazes de burlar a política de validação.

A investigação determinou que a lógica usada para limitar a conta de um cliente a apenas o envio de e-mail a partir dos domínios que o cliente controla não era suficientemente rigorosa. Foram implementadas soluções permanentes para prevenir o uso indevido no futuro. Também foram impostas restrições às contas de avaliação para prevenir tentativas de encontrar falhas executadas por contas não verificadas.

Impacto

Os hackers foram capazes de enviar cerca de 1,9 milhão de mensagens de spam não maliciosas através dos gateways da Sophos. O abuso utilizou-se, principalmente, de endereços de e‑mail com saída info [ARROBA] sophos [PONTO] com e news [ARROBA] sophos [PONTO] com, mas incluiu 30 mensagens que clonaram os domínios de 12 clientes do Sophos Email. Todos os clientes afetados foram notificados pelo Suporte da Sophos.

Cronograma

Data/HoraEvento
2 de abril de 2025Primeira conta de avaliação criada por Agentes de Ameaças (AA) para descobrir como burlar a política de filtragem de saída destinada a prevenir a clonagem de domínio.
13 de abril de 2025, 18h00 UTCO AA começa a enviar grandes quantidades de e-mail para saída através dos gateways do Sophos Email.
14 de abril de 2025, 15h54 UTCPostagem inicial no Reddit por /u/jegraves causa tumulto sobre um spam originado de info [ARROBA] sophos [PONTO] com.
14 de abril de 2025, 16h52 UTCA equipe do Sophos Internal Detection and Response (IDR) toma conhecimento da postagem no Reddit e faz a triagem do incidente.
14 de abril de 2025, 17h05 UTCO Sophos IDR começa a investigação dos principais envolvidos.
14 de abril de 2025, 19h07 UTCA Sophos bloqueia o domínio vinculado à campanha de spam.
15 de abril de 2025, 06h00 UTCAs alterações são colocadas em produção para prevenir o spoofing de sophos.com.
15 de abril de 2025, 16h33 UTCTodos os IPs e endereços de e-mail relacionados ao abuso são bloqueados no Sophos Email.
17 de abril de 2025, 11h51 UTCTodas as contas de avaliação vinculadas às campanhas de spam são desativadas.
19 de abril de 2025, 04h59 UTCÉ realizada a alteração da política para prevenir que futuras contas de avaliação enviem e-mails sem que a saída seja gerenciada por um parceiro ou revenda.


Análise

Por motivos óbvios, o Sophos Email deve considerar cuidadosamente a origem de todas as mensagens enviadas para retransmissão de saída para prevenir o uso indevido. Quando o serviço foi lançado, o sistema só podia retransmitir o e-mail se o envelope de remetente (ou se NULO, no cabeçalho De) e o endereço IP pertencessem ao cliente associado ao domínio. Isso resultou em problemas com as mensagens encaminhadas, como convites de calendário, que não atendiam ao critério, o que levava à rejeição das mensagens.

Em 2019, foi feita uma mudança nessa lógica para que fosse levado em consideração o cabeçalho Remetente bem como o remetente do envelope e o cabeçalho De. Isso permitiria que um usuário que recebesse um convite de calendário externo de exemplo.org o encaminhasse para um amigo em exemplo.com, contanto que o cabeçalho Remetente pertencesse ao cliente, mesmo que o cabeçalho De fosse de um domínio externo ao cliente.

Mas isso criou uma condição para os criminosos abusarem. Um remetente mal‑intencionado poderia registrar uma conta de avaliação e enviar uma mensagem quando o remetente do envelope fosse NULO, o cabeçalho Remetente fosse um endereço de e-mail no domínio da conta de avaliação e o endereço De fosse ativamente gerenciado por outros clientes do Sophos Email, essencialmente sophos.com.

Foi apenas em 2 de abril de 2025 que os fraudadores registraram sua primeira conta de avalição, mas a impressão é de que eles fizeram, inicialmente, uma fase de experimentação. Eles só começaram o ataque de spam a sério em 12 de abril de 2025, o que representou um abuso concreto de menos de dois dias.

Resolução

Ações imediatas

Em 15 de abril de 2025 foram tomadas ações imediatas para bloquear domínios e endereços IP associados aos fraudadores e para desabilitar as 24 contas associadas à atividade de spam.

As mudanças lógicas primárias para resolver o incidente foram implementadas no dia 16 de abril de 2025, o que envolveu uma melhoria à política implementada em 2019 para que ela fosse mais restritiva. Agora, o Sophos Email exigirá que o domínio no cabeçalho De pertença ao mesmo cliente que o cabeçalho Remetente quando o remetente do envelope for NULO. Isso engloba o caso sobre o uso de calendário e impede que clientes clonem outros domínios gerenciados pelo Sophos Email.

Uma terceira mudança foi implementada em 18 de abril de 2025 para mitigar futuros abusos: impedir que contas de avaliação enviem e-mails de saída. Isso se aplica a todas as contas de avaliação criadas posteriormente, a menos que sejam criadas por um parceiro da Sophos.

A Sophos gostaria de agradecer /u/jegraves por trazer o problema ao nosso conhecimento. Como reconhecimento, oferecemos uma premiação sob o nosso programa de recompensa por bug.

Ações de longo prazo

Melhorar a capacidade de detecção de atividades suspeitas originadas de contas de avaliação no Sophos Email. A maioria das atividades maliciosas começa quase que imediatamente após a criação da conta, dando oportunidade de analisar o comportamento da conta e assumir uma abordagem mais proativa para mitigar o abuso.

Ações adicionais

Se desejarem, os clientes podem excluir e-mails suspeitos e spams originados de info [ARROBA] sophos [PONTO] com e news [ARROBA] sophos [PONTO] com que chegaram entre 13 de abril de 2025 e 16 de abril de 2025.

Se tiver dúvidas ou precisar de assistência em relação a esse incidente, entre em contato com o Suporte da Sophos usando qualquer das opções abaixo.

  • Enviar um caso: faça login no Portal de Suporte e clique em Ajuda -> Criar Solicitação de Atendimento
  • Clientes do MDR: entre em contato através do painel do MDR ou fale diretamente com o seu contato designado da Sophos para resposta a ameaças.