Campanhas de Phishing e Abuso de Serviços de Armazenamento Legítimos

A Microsoft está advertindo sobre campanhas de ataques cibernéticos que abusam de serviços de hospedagem de arquivos legítimos, como SharePoint, OneDrive e Dropbox. Esses serviços são amplamente utilizados em ambientes empresariais e se tornam uma tática de evasão de defesa.

Objetivos das Campanhas de Ataque

O objetivo das campanhas é amplo e variado, permitindo que os atores de ameaça comprometam identidades e dispositivos. Com isso, eles conseguem realizar ataques de business email compromise (BEC), culminando em fraudes financeiras, exfiltração de dados e movimentação lateral para outros pontos finais.

Risco da Armazenagem de Serviços Legítimos

A utilização de serviços legítimos da internet (LIS) tem se tornado um vetor de risco popular adotado por adversários. Essa abordagem permite que esses atores se misturem ao tráfego de rede legítimo, muitas vezes conseguindo contornar defesas de segurança tradicionais e dificultando os esforços de atribuição.

Esse método é conhecido como living-off-trusted-sites (LOTS), já que aproveita a confiança e familiaridade associadas a esses serviços para contornar as barreiras de segurança de e-mails e distribuir malwares.

A Microsoft relatou que, desde meados de abril de 2024, tem observado uma nova tendência em campanhas de phishing explorando serviços legítimos de hospedagem de arquivos, envolvendo arquivos com acesso restrito e restrições de visualização apenas.

Ciclo de Ataque

Esses ataques muitas vezes começam com o compromisso de um usuário dentro de um fornecedor confiável, aproveitando o acesso para alojar arquivos e cargas maliciosas no serviço de hospedagem de arquivos, que serão compartilhados com a entidade alvo.

“Os arquivos enviados através dos e-mails de phishing são configurados para serem acessíveis apenas ao destinatário designado,” explicou a Microsoft. “Isso requer que o destinatário esteja logado no serviço de compartilhamento de arquivos — seja Dropbox, OneDrive ou SharePoint — ou que re-autentique inserindo seu endereço de e-mail e uma senha de uso único (OTP) recebida através de um serviço de notificação.”

Ademais, os arquivos compartilhados durante os ataques de phishing são configurados no modo “visualização somente”, impedindo a capacidade de download e a detecção de URLs incorporados no arquivo.

Fase de Autenticação e Roubo de Credenciais

Um destinatário que tenta acessar o arquivo compartilhado é então solicitado a verificar sua identidade fornecendo seu endereço de e-mail e uma senha de uso único enviada para sua conta de e-mail.

Uma vez que a autorização é bem-sucedida, o alvo é instruído a clicar em outro link para visualizar o conteúdo real. No entanto, essa ação o redireciona para uma página de phishing adversária-em-um-meio (Adversary-in-the-Middle – AitM) que rouba sua senha e tokens de autenticação de dois fatores (2FA).

Essa abordagem não apenas permite que os atores de ameaça tomem controle da conta, mas também a utilizem para perpetuar outros golpes, incluindo ataques BEC e fraudes financeiras.

Tendências Futuras e Modelos de Ataque

Essas campanhas, embora genéricas e oportunistas, utilizam técnicas sofisticadas para realizar engenharia social, evadir a detecção e expandir o alcance dos atores de ameaça para outras contas e locatários. A equipe de Inteligência de Ameaças da Microsoft expressou:

“Os atores de ameaça estão cada vez mais abusando de serviços de arquivos legítimos como parte de suas atividades criminosas.”

Kits de Phishing e Novas Estratégias

A Sekoia detalhou recentemente um novo kit de phishing AitM chamado Mamba 2FA, que é vendido como phishing-as-a-service (PhaaS) para outros atores de ameaça. Esse kit promove campanhas de phishing por e-mail que propagam anexos HTML imitando páginas de login do Microsoft 365.

O kit, que é oferecido em uma base de assinatura por $250 por mês, suporta Microsoft Entra ID, AD FS, provedores de SSO de terceiros e contas de consumidores. O Mamba 2FA tem sido ativamente utilizado desde novembro de 2023.

“Ele lida com verificações de dois passos para métodos de MFA não resistentes a phishing, como códigos de uso único e notificações de aplicativos. As credenciais e cookies roubados são enviados instantaneamente ao atacante por meio de um bot do Telegram.”

Considerações Finais

Diante desse cenário de crescente sofisticação das ameaças cibernéticas, é imperativo que indivíduos e organizações permaneçam vigilantes. Estruturas de defesa robustas, compreendendo tanto soluções tecnológicas quanto consciência situacional, são essenciais para mitigar os riscos associados a tais ataques.

#Phishing #Cibersegurança #Microsoft #AtaquesCibernéticos #OneDrive #Dropbox #BusinessEmailCompromise #EngenhariaSocial

autor ref: The Hacker News
ref:https://thehackernews.com/2024/10/microsoft-detects-growing-use-of-file.html