0
0
A Microsoft descobriu recentemente uma campanha de ataque de phishing generalizada direcionada aos usuários do Office 365 que atrai vítimas para uma página de autenticação falsa do Office, onde rouba suas credenciais e, posteriormente, executa uma segunda onda de ataque, o compromisso de e-mail comercial (BEC), usando informações coletadas de suas contas de e-mail.
Os atacantes por trás da campanha têm como alvo mais de 10.000 organizações desde setembro de 2021, de acordo com a Microsoft, e empregam o kit de phishing Evilginx2 como infraestrutura para sequestrar o processo de autenticação. “Também descobrimos semelhanças em suas atividades pós-violação, incluindo enumeração de dados confidenciais na caixa de correio do alvo e fraudes de pagamento”, de acordo com um post da Equipe de Pesquisa do Defender da Microsoft 365 que detalha os ataques.
O ataque homem-no-meio — ou, como a Microsoft agora chama, o adversário no meio (AiTM) – configura um servidor proxy que se senta entre a vítima e a página de autenticação real. “Tal configuração permite que o invasor roube e intercepte a senha do alvo e o cookie de sessão que prova sua sessão contínua e autenticada com o site. Observe que esta não é uma vulnerabilidade no MFA; uma vez que o phishing AiTM rouba o cookie da sessão, o invasor é autenticado em uma sessão em nome do usuário, independentemente do método de login que este último usa”, disse a Microsoft em seu post.As
organizações devem aumentar seu jogo MFA com políticas de acesso condicional, que vetam solicitações de login com base na identidade, localização IP e status do dispositivo, por exemplo, de acordo com a Microsoft.
FONTE: DARK READING