0
0
Os clientes do Microsoft 365 e Outlook nos EUA estão na mira de uma campanha bem-sucedida de roubo de credenciais que usa e-mails com tema de correio de voz como iscas de phishing. A enxurrada de e-mails maliciosos ancorando a ameaça é emblemática do problema maior de proteger os ambientes Microsoft 365, dizem os pesquisadores.
De acordo com uma análise da ThreatLabz da Zscaler, uma ofensiva altamente direcionada está em andamento desde maio, visando verticais específicas, incluindo segurança de software, militares dos EUA, provedores de soluções de segurança, cuidados de saúde/farmacêuticos e a cadeia de suprimentos de fabricação.
A campanha foi bem-sucedida em comprometer faixas de credenciais, que podem ser usadas para uma variedade de jogos finais de crimes cibernéticos. Estes incluem assumir contas para acessar documentos e roubar informações, espionar correspondência, enviar e-mails de compromisso de e-mail comercial (BEC) críveis, implantar malware e aprofundar as redes corporativas. As combinações de ID de usuário/senha também podem ser adicionadas às listas de preenchimento de credenciais, na esperança de que as vítimas tenham cometido o erro de reutilizar senhas para outros tipos de contas (como serviços bancários on-line).
“As contas do Microsoft 365 são muitas vezes um tesouro de dados, que podem ser baixados em massa”, diz Robin Bell, CISO da Egress. “Além disso, os hackers podem usar contas comprometidas do Microsoft 365 para enviar e-mails de phishing para os contatos da vítima, maximizando a eficácia de seus ataques.”
Cadeia de Ataque de Phishing de Correio de Voz
Do ponto de vista técnico, os ataques seguem um fluxo clássico de phishing — com algumas peculiaridades que os tornam mais bem-sucedidos.
Os ataques começam com supostas notificações de correio de voz perdida sendo enviadas por e-mail, que contêm anexos HTML.
Os anexos HTML geralmente passam pelos filtros de gateway de e-mail porque não são maliciosos por si só. Eles também não tendem a levantar bandeiras vermelhas para os usuários em uma configuração de notificação de correio de voz, já que é assim que as notificações legítimas do Office são enviadas. E para maior verossimilhança, os campos “De” nos e-mails são criados especificamente para se alinhar com o nome da organização alvo, de acordo com uma postagem recente no blog Zscaler.
Se um alvo clicar no anexo, o código JavaScript redirecionará a vítima para um site de colheita de credenciais controlado pelo atacante. Cada uma dessas URLs é criada sob medida para corresponder à empresa-alvo, de acordo com os pesquisadores.
“Por exemplo, quando um indivíduo no Zscaler foi alvo, o URL usou o seguinte formato: zscaler.zscaler.briccorp[.]com/<base64_encoded_email>”, eles observaram na postagem do blog, que detalhou os ataques. “É importante observar que, se o URL não contiver o e-mail codificado em base64 no final, ele redireciona o usuário para a página da Wikipedia do MS Office ou para o office.com.”
No entanto, antes que a marca possa acessar a página, uma verificação do Google reCAPTCHA aparece — uma técnica cada vez mais popular para evitar ferramentas automatizadas de análise de URL.
Os CAPTCHAs são familiares para a maioria dos usuários da Internet como os desafios que são usados para confirmar que eles são humanos. Os quebra-cabeças de teste de Turing geralmente envolvem clicar em todas as fotos em uma grade que contenham um determinado objeto ou digitar uma palavra apresentada como texto desfocado ou distorcido. A ideia é eliminar bots em sites de comércio eletrônico e contas on-line — e eles servem ao mesmo propósito para bandidos.
Uma vez que os alvos resolvem os CAPTCHAs com sucesso, eles são enviados para a página de phishing, onde são solicitados a inserir suas credenciais do Microsoft 365 — que, é claro, são prontamente capturadas pelos bandidos do outro lado da URL.
“Quando confrontada com um prompt de login que se parece com um login típico do O365, é provável que a pessoa se sinta confortável inserindo suas informações sem olhar para a barra de URL do navegador para garantir que esteja no site de login real”, diz Erich Kron, defensor da conscientização de segurança do KnowBe4, à Dark Reading. “Essa familiaridade, e as altas chances de que uma vítima pretendida use regularmente o O365 para algo em seu dia de trabalho, torna isso uma grande atração para os atacantes.”
Usar o correio de voz como atração não é uma técnica nova — mas é bem-sucedida. A campanha atual é, na verdade, um ressurgimento da atividade anterior vista em julho de 2020, observaram os pesquisadores, dada a sobreposição significativa nas táticas, técnicas e procedimentos (TTPs) entre as duas ondas de phishing.
“Esses ataques têm como alvo a natureza humana, manipulando suas vítimas usando técnicas que reproduzem nossa psicologia”, diz Egress’ Bell, à Dark Reading. “É por isso que, apesar de investir em treinamento de conscientização sobre segurança, muitas organizações ainda são vítimas de phishing. Além disso, os atores de ameaças estão criando ataques cada vez mais sofisticados e altamente convincentes que muitas pessoas simplesmente não conseguem distinguir da “coisa real”. Isso é exacerbado pelo uso crescente de dispositivos móveis, já que os usuários geralmente não conseguem ver detalhes como as informações reais do remetente.”
O Microsoft 365 continua sendo um alvo popular
A versão em nuvem do pacote de produtividade da Microsoft, anteriormente conhecida como Office365 ou O365 e renomeada Microsoft 365 pela empresa, é usada por mais de 1 milhão de empresas e mais de 250 milhões de usuários. Como tal, funciona como uma música de sirene para cibercriminosos.
De acordo com um relatório de Egress de 2022, “Fighting Phishing: The IT Leader’s View“, 85% das organizações que usam o Microsoft 365 relataram ter sido vítimas de phishing nos últimos 12 meses, com 40% das organizações sendo vítimas de roubo de credenciais.
“O Microsoft O365 e o Outlook são usados por cerca de 1 milhão de empresas, então há uma boa chance de que a vítima e a organização da vítima usem esses serviços”, diz Bell. “Com um volume tão alto de contas, os hackers têm uma chance melhor de alcançar alvos com um baixo nível de conscientização tecnológica, que são mais propensos a cair em um ataque.”
Os phishes do Microsoft 365 também são vetores de ataque populares porque se misturam com atividades normais do dia de trabalho, observa Kron.
” Passamos grande parte do nosso dia de trabalho em um modo quase piloto automático, fazendo tarefas repetidas quase automaticamente, desde que as tarefas sejam esperadas”, explica ele. “É somente quando algo inesperado ocorre que as pessoas tendem a tomar conhecimento e aplicar o pensamento crítico. Para muitos de nós, a ação de fazer login em um portal O365 não é incomum o suficiente para levantar nossas suspeitas. Muitas vezes, quando as pessoas fazem login nesses portais falsos, o software de roubo de credenciais encaminha de forma invisível as informações para o portal de login legítimo, resultando em um login bem-sucedido, e a vítima nunca percebe que foi enganada.”
Como os CISOs podem se defender contra a engenharia social
Existem desafios significativos para os CISOs em desligar esse tipo de vetor de ameaça, dizem os pesquisadores, principalmente devido ao fato de que é impossível corrigir a natureza humana. Dito isto, o treinamento do usuário para incentivar os funcionários a executar proteções básicas, como verificar a URL antes de fazer login, pode percorrer um longo caminho.
“Temos que enfrentar o fato de que os ataques de engenharia social, que incluem phishing, vishing e smishing, estão aqui para ficar”, diz Kron. “O phishing tem sido predominante quase desde o início do e-mail, e os danos causados e as perdas sofridas são simplesmente muito altos para serem ignorados, enquanto esperam pelo melhor. Os CISOs precisam entender esses riscos, e os funcionários precisam entender que, em nosso mundo moderno, onde todos usam computadores e processam informações de alguma forma, a segurança cibernética faz parte do trabalho de todos e será no futuro previsível.”
Além dessa melhor prática básica, os CISOs também devem tomar medidas de tecnologia de back-end para preencher quando as pessoas cometerem erros, como inevitavelmente farão. E isso deve ir além dos filtros de gateway de e-mail seguros padrão, de acordo com Bell.
“Para realmente mitigar o risco, as organizações precisam da tecnologia certa”, ela aconselha. “Os CISOs precisam avaliar sua pilha de segurança, garantindo que estejam aumentando suas plataformas de e-mail com camadas adicionais de proteção para garantir que suas pessoas e dados estejam protegidos. A tecnologia deve fazer parceria com os funcionários para ajudá-los a identificar até mesmo os ataques mais sofisticados, garantindo que as credenciais e as contas de e-mail não possam ser comprometidas pelos atores da ameaça.”
Kron recomenda uma abordagem de defesa de senso comum que combine tecnologia e treinamento.
“Para os CISOs que não reconhecem isso e tentam combater esses ataques com ferramentas puramente técnicas, as chances de sucesso são bastante baixas”, diz ele. “Para os CISOs que entendem que esses ataques estão explorando vulnerabilidades humanas e implantando uma combinação de controles técnicos, além de abordar a questão humana por meio de educação e treinamento, os resultados geralmente são muito melhores.”
FONTE: DARK READING