0
0
Uma campanha de phishing que utiliza a ferramenta EvilProxy phishing-as-a-service (PhaaS) foi detectada visando contas de usuário do Microsoft 365 de executivos e gerentes de nível C em mais de 100 organizações em todo o mundo.
A ascensão do phishing como serviço
À medida que as organizações empregam cada vez mais a autenticação multifator (MFA), os invasores passaram a usar serviços de phishing, como o EvilProxy , que usa proxy reverso e métodos de injeção de cookies para roubar credenciais de autenticação e cookies de sessão (e, assim, ignorar a proteção extra oferecida pelo MFA).
“Atualmente, tudo o que um invasor precisa é configurar uma campanha usando uma interface de apontar e clicar com opções personalizáveis, como detecção de bot, detecção de proxy e geofencing”, observaram os pesquisadores da Proofpoint.
“Essa interface relativamente simples e de baixo custo abriu uma comporta para atividades bem-sucedidas de phishing de MFA. Uma dessas interfaces e kits de ferramentas é o EvilProxy, um kit de phishing completo que é fácil de adquirir, configurar e configurar.”
A campanha
Entre março e junho de 2023, os pesquisadores da Proofpoint detectaram uma nova campanha de phishing direcionada a contas de usuário do Microsoft 365. Cerca de 120.000 e-mails de phishing foram enviados para organizações visadas que se faziam passar por serviços legítimos, como DocuSign, Adobe e SAP Concur.
Quando a vítima clica no link do e-mail, ela é primeiro direcionada para um site legítimo (YouTube, SlickDeals, etc.) e tenta lidar com provedores de identidade de terceiros.
“Se necessário, essas páginas podem solicitar credenciais MFA para facilitar uma autenticação real e bem-sucedida em nome da vítima – validando também as credenciais coletadas como legítimas”, observaram os pesquisadores.
A cadeia de redirecionamento do ataque. (Fonte: Proofpoint)
Os invasores empregaram codificação especial para os e-mails enviados para ocultá-los das ferramentas de verificação automática e, em seguida, usaram sites legítimos e invadidos para fazer upload do código PHP para decodificar o endereço de e-mail de cada usuário.
“Depois de decodificar o endereço de e-mail, o usuário foi encaminhado para o site final – a página de phishing real, feita sob medida apenas para a organização do alvo”, observaram os pesquisadores . Depois que os invasores obtiveram acesso à conta da vítima, eles adicionaram seu próprio método de autenticação multifatorial usando “Meus logins” para estabelecer acesso persistente.
Os alvos
Esta campanha específica foi extremamente direcionada; os invasores estavam escolhendo seletivamente alvos “VIP” enquanto desconsideravam aqueles no nível mais baixo.
“Entre as centenas de usuários comprometidos, aproximadamente 39% eram executivos de nível C, dos quais 17% eram diretores financeiros e 9% eram presidentes e CEOs. Os invasores também demonstraram interesse no gerenciamento de nível inferior, concentrando seus esforços no pessoal com acesso a ativos financeiros ou informações confidenciais”, descobriram os pesquisadores.
Como mencionado anteriormente, as organizações visadas estão localizadas em todo o mundo – mas não na Turquia. O tráfego de usuários provenientes de endereços IP turcos foi redirecionado para uma página da web legítima, observaram os pesquisadores.
FONTE: HELP NET SECURITY