0
0
Conhecido pelo seu modo simples de aplicação e uso, o EvilProxy ofereceu novas possibilidades de ação aos cibercriminosos, que agora possuem a capacidade de alcançar acessos e credenciais cada vez mais altas nos altos cargos das companhias
O uso da autenticação multifator (MFA) aumentou nos últimos anos nas organizações. Ao contrário do que se poderia antecipar, houve um crescimento nas aquisições de contas entre os locatários que têm proteção MFA. Com base em dados da Proofpoint, Inc., pelo menos 35% de todos os usuários comprometidos durante o ano passado tinham o MFA ativado.
Atores de ameaças estão avançando em seus métodos para comprometer contas; uma estratégia que observamos que foi particularmente eficaz: os invasores usam uma nova automação avançada para determinar, com precisão em tempo real, se um usuário phishing é um perfil de alto nível e obter acesso imediato à conta, ignorando perfis phishing menos lucrativos.
Reverse Proxy Turned Evil
Devido à natureza faça-você-mesmo dos kits de código aberto, os agentes de ameaças aproveitaram uma oportunidade de mercado e desenvolveram o MFA Phishing as a Service (PhaaS). Isso permitiu que aspirantes a phishers de credenciais, mesmo com baixa aptidão técnica, simplesmente pagassem por kits pré-configurados para uma variedade de serviços online (como Gmail, Microsoft, Dropbox, Facebook, Twitter, etc.).
Hoje em dia, tudo o que um invasor precisa é configurar uma campanha usando uma interface de apontar e clicar com opções personalizáveis, como detecção de bot, detecção de proxy e geofencing. Essa interface, relativamente simples e de baixo custo, abriu uma comporta para atividades bem-sucedidas de phishing de MFA. Uma dessas interfaces e kits de ferramentas é o EvilProxy, um kit de phishing completo que é fácil de adquirir, configurar e usar.
Embora a eficácia do EvilProxy como uma ferramenta de phishing seja amplamente reconhecida, os analistas de ameaças da Proofpoint identificaram uma lacuna preocupante na conscientização pública sobre seus riscos e possíveis consequências.
O que foi observado pela pesquisa?
Desde o início de março, os pesquisadores da Proofpoint monitoram uma campanha híbrida em andamento usando o EvilProxy para atingir milhares de contas de usuário do Microsoft 365. A propagação geral desta pesquisa obteve aproximadamente 120.000 e-mails de phishing enviados para centenas de organizações-alvo em todo o mundo entre março e junho de 2023.
Durante a fase de phishing do ataque, os invasores empregaram várias técnicas dignas de nota:
– Representação de marca – o remetente aborda serviços e aplicativos confiáveis representados, como Concur Solutions, DocuSign e Adobe.
– Bloqueio de verificação – os invasores utilizaram proteção contra bots de verificação de segurança cibernética, tornando mais difícil para as soluções de segurança analisarem as suas páginas suspeitas.
– Cadeia de infecção em várias etapas – os invasores desviaram o tráfego por meio de redirecionadores legítimos abertos, incluindo o YouTube, seguidos por etapas adicionais, como cookies maliciosos e redirecionamentos 404.
Evilproxy em ação
Inicialmente, os invasores personificaram serviços confiáveis conhecidos, como o sistema de gerenciamento de despesas comerciais Concur, DocuSign e Adobe. Eles usaram endereços de e-mail falsificados para enviar e-mails de phishing que continham links para sites maliciosos de phishing do Microsoft 365.
E-mails supostamente da DocuSign, Adobe Sign e Concur continham URLs maliciosos que iniciaram uma cadeia de infecção em várias etapas:
1. Primeiro, o tráfego do usuário é desviado por meio de um redirecionador legítimo aberto (como youtube[.]com, bs.servindo-sys[.]com, etc).
2. Em seguida, o tráfego do usuário pode passar por várias outras etapas de desvio, que envolvem cookies maliciosos e redirecionamentos 404. Isso é feito para dispersar o tráfego de forma imprevisível, diminuindo a probabilidade de descoberta (como visto na Figura 2).
3. Eventualmente, o tráfego do usuário é direcionado para uma estrutura de phishing EvilProxy. A página de destino funciona como um proxy reverso, imitando a marca do destinatário e tentando lidar com provedores de identidade de terceiros. Se necessário, essas páginas podem solicitar credenciais MFA para facilitar uma autenticação real e bem-sucedida em nome da vítima – validando também as credenciais coletadas como legítimas.
Um dos domínios mais vistos neste fluxo de ataque, bs.servindo-sys[.]com, é um domínio conhecido por redirecionar os usuários para uma variedade de páginas da web indesejadas. Durante a primeira onda do ataque, os invasores utilizam esse domínio para direcionar o tráfego para sites maliciosos.
Nas próximas ondas, para evitar a detecção por soluções de segurança e induzir o usuário a clicar nos links, os invasores empregam links de redirecionamento em sites respeitáveis (como YouTube, SlickDeals, etc.).
Comprometimento da conta
De acordo com a pesquisa, a lista de usuários-alvo incluía executivos de C-level e vice-presidentes de grandes empresas. Esses cargos são valorizados pelos agentes de ameaças devido ao seu potencial de acesso a dados confidenciais e ativos financeiros. Depois que um usuário-alvo forneceu suas credenciais, os invasores conseguiram fazer login em sua conta do Microsoft 365 em segundos, indicando um processo simplificado e automatizado.
No entanto, nem todos os usuários que caíram na isca inicial de phishing e enviaram suas credenciais foram acessados por pessoas mal-intencionadas. Em contraste com outras campanhas maliciosas que observamos, neste caso, os invasores priorizaram claramente apenas os alvos “VIP”, ignorando aqueles de menor valor para eles. Esse padrão pode ser uma indicação de um processo que faz uso de informações organizacionais da vítima obtidas de outras fontes, provavelmente informações disponibilizadas ao público.
Entre as centenas de usuários comprometidos, aproximadamente 39% eram executivos de C-level, dos quais 17% eram diretores financeiros e 9% eram presidentes e CEOs. Os invasores também demonstraram interesse no gerenciamento de nível inferior, concentrando seus esforços no pessoal com acesso a ativos financeiros ou informações confidenciais.
Exploração pós-compromisso
Depois que os invasores acessara
m a conta da vítima, eles consolidaram sua posição no ambiente de nuvem da organização afetada. Em várias ocasiões, os agentes de ameaças aproveitaram um aplicativo nativo do Microsoft 365 para executar a manipulação de MFA.
Utilizando ‘My Sign-Ins’, eles foram capazes de adicionar seu próprio método de autenticação multifator, estabelecendo acesso persistente a contas de usuário comprometidas. O método preferido de autenticação para invasores era “Aplicativo autenticador com notificação e código”.
Concluindo, os agentes de ameaças buscam constantemente novas maneiras de roubar as credenciais dos usuários e obter acesso a contas valiosas. Seus métodos e técnicas se adaptam continuamente a novos produtos e metodologias de segurança, como a autenticação multifator. Mesmo o MFA não é blindado contra ameaças sofisticadas e pode ser contornado por várias formas de ataques combinados de e-mail à nuvem.
Embora o vetor de ameaça inicial desses ataques seja baseado em e-mail, seu objetivo final é comprometer e explorar contas, ativos e dados valiosos de usuários na nuvem. Esses invasores são conhecidos por estudar a cultura, a hierarquia e os processos de suas organizações-alvo, para preparar seus ataques e melhorar as taxas de sucesso.
Para monetizar seu acesso, os invasores foram vistos executando fraudes financeiras, realizando exfiltração de dados ou participando de transações de Hacking-as-a-Service (HaaS), vendendo acesso a contas de usuários comprometidas.
Recomendações
Abaixo estão maneiras para se defender contra as ameaças:
– Segurança de e-mail: bloqueie e monitore ameaças maliciosas de e-mail direcionadas aos seus usuários. Soluções eficazes de prevenção de BEC podem minimizar significativamente as superfícies de ataque práticas.
– Segurança na nuvem: identifique o controle de conta (ATO) e o acesso não autorizado a recursos confidenciais em seu ambiente de nuvem. Essas soluções devem fornecer detecção precisa e oportuna do comprometimento inicial da conta e das atividades pós-comprometimento, incluindo visibilidade de serviços e aplicativos com abuso.
– Segurança da Web: isole sessões potencialmente maliciosas iniciadas por links incorporados em mensagens de e-mail.
– Conscientização sobre segurança: eduque os usuários para que estejam cientes desses riscos ao usar o Microsoft 365.
FONTE: SECURITY REPORT