0
0
No final do ano passado, um grupo de agentes de ameaças conseguiu obter o status de “editor verificado” por meio do Microsoft Cloud Partner Program (MCPP). Isso permitiu que eles superassem os níveis de representação de marca normalmente vistos em campanhas de phishing, pois distribuíam aplicativos maliciosos reforçados por um selo azul verificado, concedido apenas a fornecedores e provedores de serviços confiáveis no ecossistema da Microsoft.
O MCPP é o programa de parceiros de canal da Microsoft, habitado por mais de 400.000 empresas que vendem e oferecem suporte a seus produtos e serviços corporativos e também criam suas próprias soluções e software em torno deles. Os membros incluem provedores de serviços gerenciados, fornecedores independentes de software e desenvolvedores de aplicativos de negócios, entre outros.
Pesquisadores da Proofpoint descobriram essa atividade pela primeira vez em 6 de dezembro do ano passado. Um relatório publicado em 31 de janeiro descreve como os agentes de ameaças usaram seu status falso como editores de aplicativos verificados dentro do programa MCPP para se infiltrar nos ambientes de nuvem de organizações com sede no Reino Unido e na Irlanda. Os falsos parceiros de soluções visavam funcionários de finanças e marketing, bem como gerentes e executivos, por meio de aplicativos maliciosos. Os usuários que se apaixonaram pelo distintivo se expuseram potencialmente a aquisição de conta, exfiltração de dados e comprometimento de e-mail comercial (BEC), e suas organizações foram expostas à falsificação de identidade de marca.
No geral, a campanha “usou sofisticação sem precedentes para contornar os mecanismos de segurança da Microsoft”, disseram os pesquisadores ao Dark Reading. “Esta foi uma operação extremamente bem pensada.”
Como os hackers enganaram a Microsoft
Para se tornar um editor verificado, os Microsoft Cloud Partners devem atender a um conjunto de oito critérios . Esses critérios são amplamente técnicos e, como a Microsoft descreveu em sua documentação, passar na barra “não implica ou indica critérios de qualidade que você pode procurar em um aplicativo”. Mas agentes de ameaças abusando do sistema para distribuir aplicativos maliciosos? Isso não deveria acontecer.
O truque neste caso foi que, antes de phishing os usuários finais, os invasores enganaram a própria Microsoft.
A saber: eles se registraram como editores sob nomes “exibidos” que imitavam empresas legítimas. Enquanto isso, seus nomes de “editor verificado” associados estavam ocultos e ligeiramente diferentes. O exemplo dado pelos pesquisadores é que uma editora disfarçada de “Acme LLC” pode ter um nome de editor verificado “Acme Holdings LLC”.
Evidentemente, isso foi o suficiente para patinar pelo processo de verificação dos sistemas. De fato, observaram os pesquisadores, “em dois casos, a verificação foi concedida um dia após a criação do aplicativo malicioso”.
Quando procurada para comentar a falha do processo de verificação, a Proofpoint não ofereceu mais detalhes, e um porta-voz da Microsoft apenas observou: “ O phishing de consentimento é um problema contínuo em todo o setor e estamos monitorando continuamente novos padrões de ataque. Desativamos esses aplicativos maliciosos e estamos tomando medidas adicionais para fortalecer nossos serviços para ajudar a manter os clientes seguros.”
O porta-voz acrescentou: “O número limitado de clientes que foram afetados pela campanha descrita no blog da Proofpoint foi notificado”.
Como os hackers enganaram os usuários corporativos
Tendo obtido seu status verificado, os invasores começaram a espalhar aplicativos OAuth maliciosos, um veículo cada vez mais popular para ciberataques nos últimos anos. Eles manipularam esses aplicativos para solicitar amplo acesso às contas das vítimas.
“O ator usou contas de parceiros fraudulentas para adicionar um editor verificado aos registros de aplicativos OAuth que eles criaram no Azure AD”, de acordo com um comunicado publicado em 31 de janeiro. “Os aplicativos criados por esses atores fraudulentos foram usados em uma campanha de phishing de consentimento, que enganou os usuários para conceder permissões aos aplicativos fraudulentos.”
OAuth — abreviação de “autorização aberta” — é uma estrutura baseada em token que permite aos usuários autorizar determinados compartilhamentos de dados entre aplicativos de terceiros, sem a necessidade de divulgar suas credenciais de login no processo. Um exemplo comum são as opções “fazer login com o Google” ou “fazer login com o Facebook” que muitos sites oferecem para evitar a necessidade de criar um novo conjunto de credenciais para usar com os sites. Os diálogos OAuth são comuns o suficiente para que os usuários normalmente cliquem em “Aceitar”, sem se aprofundar nos detalhes do que estão concordando.
Extinguir essa campanha de phishing de consentimento exigiria muito mais vigilância do que isso.
Além do selo de aprovação de “editor verificado”, os invasores deram nomes vagos e inócuos aos aplicativos que solicitavam permissões: dois eram chamados simplesmente de “Single Sign-on (SSO)” e um de “Reunião”. E, embora publicando sob o disfarce de outras organizações representadas, os invasores escolheram um nome familiar para exibir aos usuários no estágio de permissão solicitado.
“Os invasores usaram diferentes campos de dados para enganar os usuários-alvo”, disseram os pesquisadores da Proofpoint. “Eles usaram um nome, idêntico ao nome da organização personificada, como o nome visível do editor. O outro nome foi usado como um parâmetro oculto, não visível na página de consentimento do aplicativo malicioso”.
Em um caso, “eles usaram uma versão desatualizada do conhecido ícone do Zoom”, explicaram os autores do Proofpoint no relatório, “e redirecionaram para URLs semelhantes ao Zoom, bem como um domínio genuíno do Zoom, para aumentar sua credibilidade”.
Para concluir, eles colocaram sem rodeios: “Os usuários finais provavelmente serão vítimas dos métodos avançados de engenharia social descritos neste blog”.
As vítimas que caíram na jogada concederam aos atacantes permissão para acessar áreas especiais de suas contas, como suas caixas de correio e calendários. As permissões também incluíam acesso offline, permitindo que os hackers fizessem o que desejassem totalmente fora de vista.
Aplicativos OAuth falsos: dicas para empresas
Depois de saber sobre a campanha em 15 de dezembro, a Microsoft desativou os aplicativos maliciosos e as contas de editor associadas. Em seguida, alistou sua Unidade de Crimes Digitais para investigar mais.
De acordo com a Microsoft, “implementamos várias medidas de segurança adicionais para melhorar o processo de verificação do MCPP e diminuir o risco de comportamento fraudulento semelhante no futuro”.
Para se defender contra futuras campanhas desse tipo, os pesquisadores da Proofpoint recomendaram a implantação de soluções eficazes de segurança na nuvem para ajudar a detectar aplicativos maliciosos e indicaram aos leitores o avisoda Microsoft em relação ao phishing de consentimento. O conselho mais importante deles foi “tomar cuidado ao conceder acesso a aplicativos OAuth de terceiros, mesmo que sejam verificados pela Microsoft”.
“Não”, escreveram eles, “confiem e confiem em aplicativos OAuth com base apenas em seu status de editor verificado”.
FONTE: DARK READING