0
0
Uma ferramenta de phishing-as-a-service (PaaS) não relatada anteriormente permite que até mesmo crianças criem ataques de phishing atraentes e eficazes contra empresas.
Pesquisadores do Cisco Talos detalharam suas descobertas sobre a “Grandeza”, um balcão único para todas as necessidades de phishing de um cibercriminoso. Com o Greatness, qualquer pessoa com golpes técnicos ainda mais rudimentares pode criar iscas de phishing atraentes baseadas no Microsoft 365, depois realizar ataques man-in-the-middle que roubam credenciais de autenticação — mesmo diante da autenticação multifator (MFA) — e muito mais.
A ferramenta está em circulação pelo menos desde meados de 2022 e tem sido usada em ataques contra empresas de manufatura, saúde e tecnologia, entre outros setores. Metade dos alvos até agora se concentrou nos EUA, com novos ataques ocorrendo na Europa Ocidental, Austrália, Brasil, Canadá e África do Sul.
“Ele foi projetado para ser acessível”, diz Nick Biasini, chefe de divulgação do Cisco Talos. “Isso democratiza o acesso a campanhas de phishing.”
Como funciona a grandeza
Para uma vítima, o Greatness virá na forma de um e-mail com um link, ou geralmente um anexo disfarçando uma página HTML. Clicar no anexo abrirá uma imagem borrada de um documento da Microsoft atrás de um volante de carregamento, dando a impressão de que o arquivo está sendo carregado. Mas o documento nunca carrega. Em vez disso, a vítima é redirecionada para uma página de logon do Microsoft 365.
Isso pode parecer suspeito se não fosse pelo fato de que o endereço de e-mail da vítima, bem como o logotipo de sua empresa, já estão pré-preenchidos na página, dando um ar de legitimidade a todo o caso.
Neste ponto, começa o esquema man-in-the-middle. A vítima envia sua senha para o 365, sem saber que está ajudando a fazer login em seu próprio agressor. Mesmo que uma vítima tenha o MFA implementado, não há problema. 365 pede um código, a vítima o envia, Grandeza o intercepta e o ardil continua. A Greatness coleta seus cookies de sessão autenticados e os repassa ao agente da ameaça via Telegram ou seu painel administrativo.
Costumava levar tempo, esforço e codificação para criar ataques de phishing tão convincentes. Com o Greatness, tudo o que você precisa fazer é preencher um formulário: título, legenda, uma imagem de uma planilha do Excel para enganá-los, e assim por diante. Ativar o recurso “autograb” preenche automaticamente a página de login 365 com o endereço de e-mail da vítima, de acordo com as descobertas do Talos.
“Basicamente você só paga, tem acesso à sua API, e pronto”, diz Biasani. “Você tem que entender algumas coisas básicas, como o que são chaves de API e como aplicá-las no portal, mas é bonito, bastante fácil de usar.”
Por que a grandeza funciona tão grande
Como o Greatness é tão liso na apresentação e ignora tão facilmente o MFA, a simples conscientização e a higiene cibernética podem não ser suficientes para salvar uma empresa de seu alcance.
Uma mudança simples que as organizações podem fazer é ajustar os tempos limite da sessão de cookies. “Ter um valor de tempo limite de, tipo, duas semanas não é uma boa aparência no cenário de ameaças que estamos vendo hoje”, explica Biasani. Ele acrescenta, no entanto, que “o desafio é que você também tem uma base de usuários, e forçar as pessoas a usar MFA a cada cinco minutos também não vai passar muito bem. Então você está meio que sentado nesse espaço intermediário: uma decisão de segurança versus uma decisão de usabilidade. É um equilíbrio muito difícil.”
Onde correções simples não resolvem o problema, uma segurança mais sofisticada é necessária. “É aqui que você começa a entrar em coisas como detecção de anomalias”, observa ele, “e logins baseados em localização. Coisas assim. Você vai ter que elevar a sua detecção.”
Ainda assim, Biasani vê um lado positivo. “Para mim, mais do que qualquer outra coisa, mostra que o MFA realmente funciona… porque eles [atacantes] estão realmente tentando fazer algo para combater isso agora”, diz ele. “O MFA está a chegar a um ponto em que já não o podem ignorar.”
FONTE: DARK READING