Nota: O seguinte artigo irá ajudá-lo com: Hackers encontraram uma nova maneira de invadir a conta de e-mail da Microsoft
Pesquisadores de segurança do grupo ThreatLabz da Zscaler descobriram uma nova linhagem de uma campanha de phishing em grande escala, que usa uma técnica de ataque do adversário no meio (AiTM) capaz de contornar a autenticação multifator (MFA).
Para os não versados, o ataque AiTM é um ataque cibernético em que o invasor secretamente transmite e possivelmente altera as comunicações entre duas partes que acreditam estar se comunicando diretamente, pois o invasor se inseriu entre as duas partes. Os hackers por meio desse método podem usar os cookies roubados para fazer login e evitar completamente o MFA.
Acredita-se que o principal objetivo da campanha de phishing em larga escala seja a violação de contas corporativas para realizar ataques BEC (compromisso de e-mail comercial), que redireciona os pagamentos para a conta bancária do hacker usando documentos falsos, conforme relatado pelo BleepingComputer.
O ThreatLabz descreve o novo ataque de phishing como altamente sofisticado. Ele “usa uma técnica de ataque de adversário no meio (AiTM) capaz de contornar a autenticação multifator” e “várias técnicas de evasão usadas em vários estágios do ataque projetadas para contornar soluções convencionais de segurança de e-mail e segurança de rede”.
Os principais alvos da campanha de phishing incluem vários setores, como FinTech, Lending, Finance, Insurance, Accounting, Energy e Federal Credit Union. A maioria das organizações visadas está sediada nos EUA, Reino Unido, Nova Zelândia e Austrália.
De acordo com os pesquisadores do ThreatLabz da Zscaler, a campanha ainda está ativa e os agentes de ameaças estão criando novos domínios de phishing quase todos os dias.
Detalhes da campanha de phishing
A campanha em andamento foi originalmente detectada por pesquisadores do ThreatLabz em junho de 2022, com analistas observando um aumento no uso de kits avançados de phishing em uma campanha em larga escala contra setores específicos e titulares de contas de serviços de e-mail da Microsoft.
Todos esses ataques de phishing começam com um e-mail com tema de fatura enviado à vítima contendo um link malicioso incorporado como botões no corpo da mensagem ou nos arquivos HTML anexados que acionam redirecionamentos para as páginas de phishing.
Depois que o destinatário do e-mail abre o anexo por meio de um navegador da Web, ele redireciona o alvo para uma página de phishing que representa uma página de login do Microsoft Office, mas não antes de fazer a impressão digital da máquina comprometida para determinar se o visitante da página é uma vítima da campanha ou alguém senão.
Existem diferentes métodos usados nesta campanha para se destacar, que incluem páginas de redirecionamento abertas hospedadas pelo Google Ads, Snapchat e DoubleClick. O objetivo dos hackers é carregar o URL de phishing para que ele possa enganar o usuário a clicar nele. Infelizmente, algumas plataformas não veem os redirecionamentos abertos como uma vulnerabilidade, deixando-os disponíveis para abuso por parte dos agentes de ameaças.
Alguns dos domínios registrados pelo invasor eram versões com erros de digitação de cooperativas de crédito federais legítimas nos EUA, conforme mostrado na tabela abaixo:
“Por nossa análise dos e-mails originais usando o tema Federal Credit Union, observamos um padrão interessante. Esses e-mails se originaram dos endereços de e-mail dos principais executivos das respectivas organizações da Federal Credit Union”, disse o relatório do ThreatLabz sobre a nova campanha de phishing.
“Isso indica que o agente da ameaça pode ter comprometido os e-mails corporativos dos executivos-chefes dessas organizações usando esse ataque de phishing e, posteriormente, usado esses e-mails comerciais comprometidos para enviar mais e-mails de phishing como parte da mesma campanha”.
Além disso, alguns dos nomes de domínio usaram palavras-chave relacionadas a lembretes de “redefinição de senha” e “expiração de senha”, como parte de suas campanhas de phishing por e-mail:
É importante notar que existem vários outros domínios envolvidos nesta campanha ativa, alguns deles são completamente aleatórios, enquanto outros não obedecem a nenhum padrão específico.
A campanha usa várias técnicas de redirecionamento, em que serviços legítimos de edição de código online, como CodeSandbox e Glitch, são usados para aumentar a vida útil da campanha.
“Um método comum de hospedagem de código de redirecionamento é fazer uso de serviços de edição/hospedagem de código da web: o invasor pode usar esses sites, destinados ao uso legítimo por desenvolvedores da web, para criar rapidamente novas páginas de código, colar nelas um código de redirecionamento com o URL do site de phishing mais recente e continue enviando o link para o código de redirecionamento hospedado para as vítimas em massa”, acrescentou o relatório.
O comprometimento de e-mail comercial (BEC) continua sendo uma das principais ameaças contra as quais as organizações precisam se proteger. Os agentes de ameaças estão atualizando continuamente suas táticas, técnicas e procedimentos (TTPs) para contornar várias medidas de segurança.
Para proteger contra esses ataques de phishing, recursos de segurança como autenticação multifator (MFA) não devem ser considerados uma bala de prata, disse o ThreatLabz. Com o uso de kits avançados de phishing (AiTM) e técnicas de evasão inteligentes, os agentes de ameaças podem ignorar as soluções de segurança tradicionais e avançadas.
Como precaução extra, os pesquisadores do Zscaler ThreatLabz recomendaram que os usuários não abram anexos ou cliquem em links em e-mails enviados de fontes não confiáveis ou desconhecidas. Eles também sugeriram que os usuários verifiquem a URL na barra de endereço do navegador antes de inserir qualquer credencial.