0
0
Os invasores foram recentemente vistos explorando uma falha de dia zero nos serviços de e-mail e SMTP da Salesforce em uma sofisticada campanha de phishing destinada a roubar credenciais de usuários do Facebook.
Os pesquisadores da Guardio detectaram ciberataques enviando e-mails de phishing direcionados com endereços @salesforce.com usando a infraestrutura legítima da Salesforce . Uma investigação revelou que eles conseguiram explorar uma falha de validação de e-mail do Salesforce para se esconder atrás do status confiável do domínio com usuários e proteções de e-mail .
O remetente dos e-mails alegou ser “Meta Platforms” e as mensagens incluíam links legítimos para a plataforma do Facebook, reforçando ainda mais a legitimidade.
“É óbvio porque vimos este e-mail passando pelos mecanismos anti-spam e anti-phishing tradicionais”, observaram Oleg Zaytsey e Nati Tal, da Guardio Labs, no post . “Ele inclui links legítimos (para facebook.com) e é enviado de um endereço de e-mail legítimo de @salesforce.com, um dos principais provedores de CRM do mundo.”
As mensagens direcionavam os destinatários por meio de um botão para um domínio legítimo do Facebook, apps.facebook.com, onde o conteúdo foi alterado para informá-los de que eles violaram os termos de serviço do Facebook. A partir daí, outro botão levava a uma página de phishing que coletava detalhes pessoais, incluindo nome completo, nome da conta, endereço de e-mail, número de telefone e senha.
No entanto, “não há evidências de impacto nos dados do cliente”, disse a Salesforce a Guardio. A falha, entretanto, foi corrigida.
Abuso de jogos descontinuados do Facebook
Do lado do Facebook, os invasores abusaram do apps.facebook.com criando um jogo de aplicativo da Web, que permite telas personalizadas. O Facebook descontinuou a capacidade de criar telas de jogos herdados, mas os jogos existentes que foram desenvolvidos antes do fim do recurso foram adquiridos. Parece que atores mal-intencionados abusaram do acesso a essas contas, disseram os pesquisadores.
Ao fazer isso, eles poderiam “inserir conteúdo de domínio malicioso diretamente na plataforma do Facebook – apresentando um kit de phishing projetado especificamente para roubar contas do Facebook, incluindo desvios do mecanismo de autenticação de dois fatores (2FA)”, disseram os pesquisadores, acrescentando que o pai do Facebook Meta “rapidamente removeu as contas malévolas e o jogo da Web.”
“Estamos fazendo uma análise de causa raiz para ver por que nossas detecções e mitigações para esses tipos de ataques não funcionaram”, disse a equipe de engenharia da Meta a Guardio, de acordo com o post.
Protegendo gateways de correio legítimos
A prevalência de ataques de phishing e golpes continua alta , com os invasores encontrando maneiras de dar um novo toque e aumentar a sofisticação de um antigo tipo de engenharia social que ainda funciona. Na verdade, é frequentemente usado como ponto de entrada inicial em redes corporativas para lançar ransomware e outros ataques.
Um aspecto emergente e preocupante das campanhas recentes é a exploração de serviços aparentemente legítimos, como CRMs como Salesforce, plataformas de marketing e espaços de trabalho baseados em nuvem para realizar atividades maliciosas, observaram os pesquisadores: “Isso representa uma lacuna de segurança significativa, onde os os métodos geralmente lutam para acompanhar as técnicas avançadas e em evolução empregadas pelos agentes de ameaças.”
Os provedores de serviços, então, precisam intensificar seu jogo de segurança para evitar que essas plataformas sejam abusadas em golpes de phishing que exploram gateways de e-mail seguros e respeitáveis. As etapas para fazer isso incluem reforçar os processos de verificação para garantir a legitimidade dos usuários, bem como realizar análises abrangentes de atividades contínuas para identificar prontamente qualquer uso indevido do gateway, seja por volume excessivo ou por meio da análise de metadados, como listas de e-mail e características de conteúdo.
FONTE: DARKREADING