0
0
Os invasores lançaram uma campanha de phishing EvilProxy para atingir milhares de contas de usuários do Microsoft 365 em todo o mundo, enviando uma enxurrada de 120.000 e-mails de phishing para mais de 100 organizações em todo o mundo apenas no período de três meses entre março e junho. O objetivo? Para assumir o controle de C-suite e outras contas executivas, a fim de montar novos ataques mais profundos dentro da empresa.
A campanha em andamento usa uma combinação de táticas de phishing – incluindo personificação da marca , bloqueio de varredura e uma cadeia de infecção em várias etapas – para assumir com sucesso as contas na nuvem de executivos de alto nível, revelaram pesquisadores da Proofpoint .
Nos últimos seis meses, a Proofpoint observou um aumento significativo de mais de 100% nessas aquisições. Os comprometimentos ocorreram em organizações que representam coletivamente 1,5 milhão de funcionários em todo o mundo.
O uso do EvilProxy pelos invasores , uma oferta de phishing como serviço que usa proxy reverso e métodos de injeção de cookies, permitiu que eles contornassem a autenticação multifator (MFA) nos ataques. De fato, embora o uso de MFA seja frequentemente citado como um mecanismo de prevenção para phishing, o EvilProxy e ferramentas de hackers de proxy reverso semelhantes estão facilitando a invasão de malfeitores.
“Se necessário, essas páginas podem solicitar credenciais MFA para facilitar uma autenticação real e bem-sucedida em nome da vítima – validando também as credenciais coletadas como legítimas”, escreveram Shachar Gritzman, Moshe Avraham, Tim Kromphardt, Jake Gionet e Eilon Bendet, da Proofpoint . em uma postagem de blog .
Além disso, uma vez obtidas as credenciais, os atores não perderam tempo em fazer login nas contas de nuvem dos executivos, obtendo acesso em apenas alguns segundos. Eles continuaram a ganhar persistência para contas comprometidas, aproveitando um aplicativo nativo do Microsoft 365 para adicionar seu próprio MFA a “Meus logins”, disseram os pesquisadores. O método preferido para fazer isso era “Aplicativo autenticador com notificação e código”.
“Ao contrário do que se poderia prever, houve um aumento nas aquisições de contas entre os inquilinos que têm proteção MFA”, escreveram os pesquisadores. “Com base em nossos dados, pelo menos 35% de todos os usuários comprometidos durante o ano passado tinham o MFA ativado.”
Detalhamento do ataque EvilProxy
Um ataque típico do EvilProxy começa com invasores se passando por serviços confiáveis conhecidos, como o sistema de gerenciamento de despesas comerciais Concur, DocuSign e Adobe. Eles usaram endereços de e-mail falsificados para enviar e-mails de phishing supostamente provenientes de um desses serviços que continham links para sites de phishing maliciosos do Microsoft 365.
Clicar em um desses links desencadearia uma cadeia de infecção em várias etapas, na qual o tráfego do usuário é redirecionado primeiro para um redirecionador aberto e legítimo, como o YouTube, entre outros. O tráfego pode passar por vários outros redirecionamentos, que envolvem cookies maliciosos e redirecionamentos 404.
“Isso é feito para espalhar o tráfego de maneira imprevisível, diminuindo a probabilidade de descoberta”, escreveram os pesquisadores.
Eventualmente, o tráfego do usuário é direcionado para uma estrutura de phishing EvilProxy, uma página de destino que funciona como um proxy reverso, imitando a marca do destinatário e tentando imitar provedores de identidade de terceiros.
Apesar do volume, os invasores foram extremamente direcionados em sua abordagem, indo direto ao topo da cadeia alimentar organizacional, visando executivos de nível C em cerca de 39% dos ataques. Desse número, 17% desses alvos eram CFOs e 9% eram presidentes e CEOs.
MFA Bypass mostra a necessidade de segurança avançada
Tanto o sucesso dos invasores em violar o MFA quanto a escala do ataque demonstram a sofisticação crescente dos ataques de phishing, que exigem uma resposta das organizações para aumentar o nível de segurança, observou um especialista em segurança.
“A escala e a audácia da campanha de phishing do EvilProxy são profundamente preocupantes”, escreveu Colin Little, engenheiro de segurança da empresa de segurança cibernética Centripetal , em um e-mail para Dark Reading. “É um lembrete claro de que nenhuma medida de segurança é à prova de balas e os cibercriminosos estão continuamente encontrando novas maneiras de explorar vulnerabilidades”.
Ele recomendou a implantação de inteligência de segurança cibernética proativa para monitorar atividades incomuns, ameaças emergentes e vulnerabilidades potenciais para reforçar as defesas das organizações e manter uma postura de segurança cibernética mais robusta.
De fato, embora muitas organizações saibam sobre a eficácia do EvilProxy como uma ferramenta de phishing , os pesquisadores da Proofpoint notaram “uma lacuna preocupante na conscientização pública sobre seus riscos e possíveis consequências”.
A empresa recomenda bloquear e monitorar ameaças maliciosas de e-mail, identificar controle de conta e acesso não autorizado a recursos confidenciais na nuvem e isolar sessões potencialmente maliciosas iniciadas por links incorporados em mensagens de e-mail entre vários esforços de mitigação de phishing.
FONTE: DARKREADING