0
0
Os atacantes estão testando uma nova técnica para ampliar o alcance de suas campanhas de phishing: usando credenciais roubadas do Office 365, eles tentam conectar dispositivos Windows desonestos à rede das organizações vítimas, registrando-os com seu Azure AD.
Se forem bem-sucedidos, eles estão prontos para lançar a segunda onda da campanha, que consiste em enviar mais e-mails de phishing para alvos fora da organização, bem como dentro (para expandir sua base).
A campanha
A Equipe de Inteligência de Ameaças do Microsoft 365 Defender detectou recentemente uma campanha em larga escala direcionada a organizações na Austrália e no Sudeste Asiático.
A campanha começou com um e-mail de phishing da marca DocuSign pedindo aos usuários que revisassem e assinassem um documento. Ao clicar no botão “Review Document”, o alvo foi levado para uma página de login falsa para o Office 365, já pré-preenchido com seu nome de usuário:
“As credenciais roubadas da vítima foram imediatamente usadas para estabelecer uma conexão com o Exchange Online PowerShell, provavelmente usando um script automatizado como parte de um kit de phishing. Aproveitando a conexão Remote PowerShell, o invasor implementou uma regra de caixa de entrada através do cmdlet New-InboxRule que excluiu certas mensagens com base em palavras-chave no assunto ou no corpo da mensagem de e-mail”, explicou a equipe.
O filtro exclui automaticamente mensagens contendo as palavras “lixo”, “spam”, “phishing”, “hackeado”, “senha” e “com você”, para que o usuário legítimo da conta não veja relatórios de não entrega e e-mails de notificação de TI que possam ter sido enviados a eles.
Em seguida, os atacantes instalaram o Outlook em sua própria máquina Windows 10 e a conectaram ao Azure Active Directory da organização vítima, “possivelmente simplesmente aceitando o primeiro prompt de experiência de lançamento do Outlook para registrar o dispositivo usando as credenciais roubadas”.
Finalmente, com essa máquina se tornando parte do domínio e do cliente de e-mail configurado como qualquer outro usuário regular dentro das organizações, os e-mails de phishing enviados da conta comprometida – falsos convites do Sharepoint apontando novamente para uma página de login falsa do Office 365 – tornaram-se instantaneamente mais persuasivos.
“As vítimas que inseriram suas credenciais no site de phishing do segundo estágio estavam igualmente conectadas com o Exchange Online PowerShell, e quase imediatamente tinham uma regra criada para excluir e-mails em suas respectivas caixas de entrada. A regra tinha características idênticas à criada durante a primeira fase de ataque da campanha”, concluiu a equipe.
Prevenção e limpeza
Essa técnica não funcionou na maioria dos casos, por uma razão simples: os usuários tinham autenticação multifatorial (MFA) habilitada em sua conta, de modo que os atacantes não podiam aproveitar as credenciais roubadas em primeiro lugar.
As organizações devem habilitar o MFA para todos os usuários e exigi-lo ao se juntar a dispositivos ao Azure AD, bem como considerar desativar o Exchange Online Powershell para usuários finais, aconselhou a equipe.
Eles também compartilharam consultas de caça a ameaças para ajudar as organizações a verificar se seus usuários foram comprometidos através desta campanha e advertiram que redefinir as credenciais comprometidas não é suficiente para uma limpeza completa: os defensores também devem revogar sessões ativas e tokens associados a contas comprometidas, excluir regras de caixa de correio criadas pelos invasores e desativar e remover dispositivos desonestos unidos ao Azure AD.
“A melhoria contínua da visibilidade e proteções em dispositivos gerenciados forçou os invasores a explorar avenidas alternativas. Embora, neste caso, o registro do dispositivo tenha sido usado para novos ataques de phishing, o registro de dispositivos está aumentando à medida que outros casos de uso foram observados. Além disso, a disponibilidade imediata de ferramentas de teste de caneta, projetadas para facilitar essa técnica, só expandirá seu uso entre outros atores no futuro”, concluíram.
Atacantes têm muitos truques para comprometer contas
Há alguns dias, os analistas de inteligência de ameaças da Microsoft sinalizaram outra campanha de phishing que teve como alvo centenas de organizações, esta uma tentativa de enganar os usuários para que concedessem um aplicativo chamado “Upgrade” de acesso às suas contas do Office 365.
“As mensagens de phishing enganam os usuários a conceder as permissões do aplicativo que poderiam permitir que os invasores criassem regras de caixa de entrada, lessem e escrevam e-mails e itens do calendário e leiam contatos. A Microsoft desativou o aplicativo no Azure AD e notificou os clientes afetados”, compartilharam os analistas.
Os atacantes também são conhecidos por tentar contornar o Office 365 MFA através de aplicativos desonestos,roubando códigos de autorização / tokens de acesso em vez de suas credenciais.
FONTE: HELPNET SECURITY