0
0
Pesquisadores de segurança descobriram uma nova de campanha de phishing em grande escala usando técnicas de ataque adversary-in-the-middle (AiTM)
Pesquisadores de segurança do ThreatLabz descobriram uma nova de campanha de phishing em grande escala usando técnicas de ataque man-in-the-middle — ou adversary-in-the-middle (AiTM), como também são conhecidas — juntamente com várias outras táticas de evasão. Man-in-the-middle é uma forma de ciberataque em que o cibercriminoso age como um intermediário entre a vítima e um site de banco ou mesmo outros usuários, por exemplo.
De acordo com um comunicado publicado pela empresa na terça-feira, 2, técnicas semelhantes de phishing AiTM foram usadas em uma campanha de phishing separada descrita pela Microsoft no mês passado. Agora, o ThreatLabz revelou que, usando a inteligência coletada na nuvem do Zscaler, houve um aumento no uso de kits avançados de phishing em uma campanha de grande escala em junho.
A empresa de segurança cibernética explicou que a nova campanha se destacou dos ataques de phishing “comumente vistos” por vários motivos. Em primeiro lugar porque, assim como a campanha identificada pela Microsoft, ela usou a técnica AiTM para contornar a autenticação multifator (MFA). Em segundo lugar, porque usou várias técnicas de evasão em vários estágios do ataque, projetadas para contornar soluções típicas de segurança de e-mail e segurança de rede.
Com base nos dados analisados, o ThreatLabz acredita que a campanha foi projetada especificamente para atingir usuários finais em empresas que usam os serviços de e-mail da Microsoft. “O comprometimento de e-mail comercial (BEC) continua sendo uma ameaça sempre presente para as organizações e esta campanha destaca ainda mais a necessidade de proteção contra esses ataques”, dizia o comunicado.
De acordo com o ThreatLabz, todos esses ataques de phishing começam com um e-mail enviado à vítima com um link malicioso, com novos domínios de phishing sendo registrados quase todos os dias pelos agentes da ameaça. “Com base em nossa telemetria de dados em nuvem, a maioria das organizações visadas eram dos setores de fintech, empréstimos, finanças, seguros, contabilidade, energia e cooperativas de crédito federais”, disse o ThreatLabz.
Além disso, a empresa disse que a maioria das organizações visadas estava localizada nos Estados Unidos, Reino Unido, Nova Zelândia e Austrália, mas não descarta a possibilidade de ter cruzado outras fronteiras.
Para se proteger contra esse ataque, o ThreatLabz diz que a autenticação multifator deve ser usada, mas não considerada uma bala de prata. “Com o uso de kits de phishing sofisticados e técnicas de evasão inteligentes, os operadores de ameaças podem contornar as soluções de segurança tradicionais e avançadas.”
Como precaução extra, o ThreatLabz orienta os usuários a não abrir anexos ou clicar em links em e-mails enviados de fontes não confiáveis ou desconhecidas. “Como prática recomendada, em geral, os usuários devem verificar a URL na barra de endereço do navegador antes de inserir qualquer credencial.” Segundo a empresa, a campanha ainda está ativa.
FONTE: CISO ADVISOR