Ataque de phishing do Office 365 aproveita validação do Active Directory em tempo real

Views: 402
0 0
Read Time:4 Minute, 14 Second

Pesquisadores descobriram um ataque de phishing usando uma nova técnica: os atacantes estão fazendo uso de APIs de autenticação para validar as credenciais do Office 365 das vítimas – em tempo real – à medida que as insemem na página de desembarque.

As APIs de autenticação são usadas por aplicativos e serviços em execução em nome dos usuários para acessar seus dados, disse Prashanth Arun, chefe de Ciência de Dados da Armorblox, ao Threatpost. O Office 365 exige que os registros de aplicativos usem APIs – mas os registros exigem apenas um endereço de e-mail, tornando-os perfeitos para os invasores aproveitarem. Alguma configuração adicional para o aplicativo também exige que os usuários especifiquem um site para “receber” informações de autenticação, acrescentou Arun.

Em um ataque de phishing recentemente detectado por pesquisadores, o invasor usou as APIs de autenticação para cruzar as credenciais de um executivo sênior de uma grande empresa com o diretório Azure Active da organização. Active Directory (AD) é o serviço de diretório proprietário da Microsoft, que permite aos administradores gerenciar permissões e acesso aos recursos da rede. As APIs de autenticação usam o Azure AD para fornecer serviços de autenticação.

No ataque de phishing, o acesso a este feedback imediato “permite que o invasor responda de forma inteligente durante o ataque”, disseram pesquisadores da Armorblox na quinta-feira. “O agressor também está imediatamente ciente de uma credencial comprometida ao vivo e permite que ele potencialmente se insente na conta comprometida antes de qualquer remediação.”

O e-mail de phishing

O ataque foi descoberto pela primeira vez tendo como alvo um executivo sênior de uma empresa sem nome, que os pesquisadores dizem ser uma marca americana nomeada entre as 50 empresas mais inovadoras do mundo em 2019. O e-mail inicial enviado ao funcionário tinha a linha de assunto “Relatório de Débito ACH”, imitando um relatório interno, e foi enviado na sexta-feira à noite, quando as vítimas provavelmente têm sua guarda baixa, disseram os pesquisadores.

De acordo com os pesquisadores, a empresa-alvo havia mudado recentemente os domínios, de modo que o endereço de e-mail público do alvo é diferente do nome de domínio usado em seu login do Active Directory. Os atacantes estavam cientes dessa mudança, levando os pesquisadores a acreditar que a campanha era altamente direcionada.

“A atividade limitada no site que hospeda o ataque de phishing e o momento cuidadoso do e-mail para uma noite de sexta-feira também sugerem que este é um ataque cuidadosamente elaborado”, disseram os pesquisadores. “Nossas estimativas mostram que houve 120 visitas ímpares a este site globalmente desde o início de junho. O número esparso mostra que os golpes de phishing são provavelmente direcionados e não pulverizam e rezam.”

O e-mail de phishing dizia às vítimas: “Encontre relatório de remessa de pagamento fechado” a partir de 11/07/2020 2:53:14 am. Obrigado por seus negócios!” e aponta para um anexo, que parece um arquivo de texto.

“Abrir o anexo do Office 365 em um navegador mostra um site idêntico ao sinal do Office 365 na página. O nome de usuário foi pré-inserido. Uma mensagem fora do padrão ‘Como você está acessando informações confidenciais, você precisa verificar sua senha'”, disseram os pesquisadores.

Credenciais de verificação cruzada

Uma vez que as vítimas inseriram suas credenciais na página de entrada de phishing, os registros de login do Azure Active Directory mostram uma tentativa imediata de login correspondente às solicitações XHR realizadas na página web de anexo.

“Não há nenhuma vulnerabilidade especial que torne isso possível, é uma adoção única de APIs pelos adversários”, enfatizou Arun em um e-mail para o Threatpost.

Se a autenticação for bem sucedida, o usuário será redirecionado para zoom.com. No entanto, se a autenticação falhar, o usuário será redirecionado para login.microsoftonline.com. Esta pode ser uma maneira de esconder o ataque de phishing como apenas mais um sinal falho na tentativa no portal Office 365, disseram os pesquisadores. Se o texto da senha digitado estiver vazio ou muito curto, o usuário será forçado a tentar novamente.

“Nossos pesquisadores de ameaças verificaram a natureza em tempo real do site atualizando o script com um login de teste e uma senha falsa e viram uma tentativa de login fracassada de Provo, Utah no portal Azure Active Directory Signy Sign-In”, disseram os pesquisadores. “Como esperado, o endereço IP (162.241.120.106) que tentou o login é o mesmo ponto final que o script de phishing envia as credenciais.”

Após uma investigação mais aprofundada, os pesquisadores descobriram que o serviço web por trás da página de phishing credencial está hospedado na adolescente[.] com, que está registrado em Alibaba.com com um registrador de domínio de Cingapura desde o final de maio de 2020.

“O site é hospedado pela UnifiedLayer, uma empresa de hospedagem com sede fora da Índia, em um datacenter em Provo, Utah, Estados Unidos”, disseram eles. “O site parece hospedar páginas da Web copiadas de outro site. Nenhum dos links que permitem o engajamento ativo com um visitante parece estar ativo.”

FONTE: THREAT POST

POSTS RELACIONADOS