Investigadores da Microsoft detectaram uma campanha de phishing maciça que pode conquistar credenciais mesmo quando um usuário possui verificação de autenticação multifatorial (MFA) habilitada e que até então já tentou invadir mais de 10.000 organizações.
Desde setembro de 2021, uma campanha tem sido realizada, que depende do uso de sites de phishing de adversários no meio (AiTM) para obter cookies de sessão e credenciais-chave. A partir daí, os atacantes têm a capacidade de entrar na conta de e-mail dos usuários das vítimas, o que possibilita o lançamento de mais ataques contra outros alvos. O Microsoft Threat Intelligence Center (MTIC) da Equipe de Pesquisa do Microsoft 365 Defender divulgou um post sobre o assunto na terça-feira.
Ocorrendo nos ataques da AITM, um ator malicioso estabelece um servidor proxy entre um usuário-alvo e o site que este tenta acessar – ou seja, aquilo que o agressor deseja imitar, explicaram os cientistas.
A estruturação desta permite ao agressor saquear e visualizar a palavra-passe do objetivo e o cookie de sessão que certifica sua sessão constante e autenticada com o site, explanou.
É necessário destacar que este tipo de ação não significa uma fraqueza no tipo de autenticação por vários fatores (MFA) usada por um sistema de correio eletrônico empresarial, acrescentaram. O phishing por AiTM roubou o cookie de sessão, o que significa que o invasor pode se identificar em uma sessão no lugar do usuário, qualquer que seja o método de autenticação que ele usa, de acordo com os pesquisadores.
Na realidade, os invasores estão se tornando mais inteligentes com o uso cada vez maior de sistemas de Autenticação Multifator por parte das empresas para proteger as contas de usuário e desenvolver golpes de phishing cada vez mais sofisticados que podem burlar as camadas de proteção, afirmou um especialista em segurança.
Embora o MFA seja extremamente importante e deve ser usado sempre que possível, pois o cookie de sessão indica que ele já foi usado para acessar a conta, os invasores ainda podem contornar a necessidade de MFA quando entrarem de novo com a senha roubada, disse Erich Kron, defensor da conscientização da segurança da KnowBe4, em um e-mail para o Threatpost.
AiTM Phishing, Desenvolvido.
Após a investigação de sua campanha, os cientistas da Microsoft tiveram a oportunidade de examinar como esses ataques operam e como eles podem ser usados para executar ataques de e-mail secundário (BEC) uma vez que a entrada na conta de alguém é obtida, segundo os relatórios.
Os especialistas declararam que os atos de phishing da AiTM se apoiam na sessão que cada serviço web moderno cria com o usuário depois que a autenticação foi exitosa, permitindo que o usuário não precise re-autenticar-se a cada nova página que visita.
Um serviço de autenticação oferece um cookie de sessão após o processo de autenticação for concluído. Este cookie será uma prova para o servidor web de que o usuário foi bem autenticado e está usufruindo de uma sessão no site.
Os pesquisadores destacaram que, no phishing da AITM, um invasor tenta obter um cookie de sessão do usuário-alvo de modo a burlar todos os processos de autenticação e se passar por um usuário autenticado legítimo.
Para realizar tal feito, o agressor coloca um servidor web que reencaminha os pacotes HTTP do usuário que acessa o site de phishing para o servidor alvo que ele pretende imitar, e vice-versa. Assim, o site de phishing é praticamente igual ao site original (devido aos pacotes HTTP serem redirecionados para o site original).
Este método é muito útil para os criminosos cibernéticos, já que não precisam criar seus próprios sites de phishing, como aqueles usados nas campanhas de phishing comuns, destacaram os pesquisadores.
Vetor de assalto particular
Nos pesquisadores da Microsoft descobriram um esquema de phishing, os golpistas enviaram emails contendo um arquivo HTML anexo para diversos destinatários. Os emails alegavam que os destinatários tinham uma mensagem de correio de voz e deveriam clicar no anexo para acessá-la ou ela seria removida em 24 horas.
Se um usuário acessar o link, eles serão direcionados a um site que informa que eles serão redirecionados para sua caixa de correio eletrônico com o áudio em uma hora. Ao mesmo tempo, eles são convidados a inserir suas credenciais de login.
Neste caso, o ataque tem algo único: aplicação de codificação inteligente, que completa automaticamente a página de destino de phishing com o email do usuário, o que deixa a engenharia social ainda mais eficaz, notaram os pesquisadores.
Se um usuário entrar em suas credenciais e for autenticado, eles serão direcionados para a página oficial do Microsoft Office.com. Porém, enquanto isso, o invasor se aproveita das informações de acesso e é autenticado em nome do proprietário, garantindo-lhe a capacidade para realizar tarefas maliciosas, segundo os especialistas.
Os especialistas observaram uma série de mensagens de e-mail de phishing que o ator de ameaça usou a autenticação para perpetuar fraudes de pagamento em assaltos adicionais dentro da empresa, informaram eles.
BEC de monitoramento e prevenção de fraudes de pagamento
Menos de cinco minutos após o seqüestro de sessões e o roubo de credenciais, os atacantes começaram o processo de fraude de pagamento, acessando seu Outlook para ler mensagens de e-mail relacionadas às finanças e baixar anexos, de acordo com os pesquisadores. No dia seguinte, eles verificaram esses e-mails e arquivos frequentemente em busca de oportunidades para fraude.
O intérprete da ameaça também eliminou do Inbox da conta violada o e-mail de phishing original que eles utilizaram para camuflar quaisquer indícios de seu acesso inicial, segundo os pesquisadores.
Afirmando isso, eles sugeriram que o indivíduo estava tentando realizar uma fraude de pagamento de forma manual.
Os invasores também aproveitaram o Outlook Web Access (OWA) com o navegador Chrome para perpetuar um golpe, utilizando um cookie de sessão furtado da conta comprometida, os especialistas anotaram.
Participe na mesa-redonda do Threatpost com Zane Bond, da Keeper Security, para descobrir como acessar com segurança suas máquinas de qualquer lugar e compartilhar documentos confidenciais do seu escritório de forma segura mesmo dentro de casa.
Por favor, faça o favor de disseminar esse artigo.
- Atentamente, estou lhe solicitando um favor.
- A proteção na Web é uma preocupação vital a qual todos os usuários da Internet devem ter. É necessário que cada um adote medidas para assegurar que seus dados pessoais e informações estejam bem guardados.