Microsoft detecta uso crescente de serviços de hospedagem de arquivos em ataques de comprometimento de e-mail comercial
A Microsoft está alertando sobre campanhas de ataques cibernéticos que abusam de serviços legítimos de hospedagem de arquivos, como SharePoint, OneDrive e Dropbox, amplamente usados em ambientes corporativos como uma tática de evasão de defesa.
O objetivo final das campanhas é amplo e variado, permitindo que agentes de ameaças comprometam identidades e dispositivos e conduzam ataques de comprometimento de e-mail comercial ( BEC ), que acabam resultando em fraude financeira, exfiltração de dados e movimentação lateral para outros endpoints.
A utilização de serviços legítimos de internet (LIS) como arma é um vetor de risco cada vez mais popular, adotado por adversários para se misturar ao tráfego de rede legítimo de uma maneira que muitas vezes ignora as defesas de segurança tradicionais e complica os esforços de atribuição.
A abordagem também é chamada de living-off-trusted-sites (LOTS), pois aproveita a confiança e a familiaridade desses serviços para contornar as proteções de segurança de e-mail e distribuir malware.
A Microsoft disse que tem observado uma nova tendência em campanhas de phishing explorando serviços legítimos de hospedagem de arquivos desde meados de abril de 2024, envolvendo arquivos com acesso restrito e restrições somente visualização.
Esses ataques geralmente começam com o comprometimento de um usuário dentro de um fornecedor confiável, aproveitando o acesso para preparar arquivos maliciosos e cargas úteis no serviço de hospedagem de arquivos para compartilhamento subsequente com uma entidade alvo.
“Os arquivos enviados por e-mails de phishing são configurados para serem acessíveis somente ao destinatário designado”, disse. “Isso requer que o destinatário esteja conectado ao serviço de compartilhamento de arquivos — seja Dropbox, OneDrive ou SharePoint — ou que se autentique novamente inserindo seu endereço de e-mail junto com uma senha de uso único (OTP) recebida por meio de um serviço de notificação.”
Além disso, os arquivos compartilhados como parte dos ataques de phishing são definidos no modo “somente visualização”, impedindo a capacidade de baixar e detectar URLs incorporadas no arquivo.
O destinatário que tenta acessar o arquivo compartilhado é então solicitado a verificar sua identidade fornecendo seu endereço de e-mail e uma senha de uso único enviada para sua conta de e-mail.
Uma vez autorizados com sucesso, o alvo é instruído a clicar em outro link para visualizar o conteúdo real. No entanto, isso os redireciona para uma página de phishing adversary-in-the-middle ( AitM ) que rouba sua senha e tokens de autenticação de dois fatores (2FA).
Isso não só permite que os invasores assumam o controle da conta, mas também a utilizem para perpetuar outros golpes, incluindo ataques de BEC e fraudes financeiras.
“Embora essas campanhas sejam genéricas e oportunistas por natureza, elas envolvem técnicas sofisticadas para executar engenharia social, evitar detecção e expandir o alcance dos agentes de ameaças para outras contas e inquilinos”, disse a equipe de Inteligência de Ameaças da Microsoft.
O desenvolvimento ocorre no momento em que Sekoia detalhou um novo kit de phishing AitM chamado Mamba 2FA, que é vendido como phishing como serviço (PhaaS) para outros agentes de ameaças para conduzir campanhas de phishing por e-mail que propagam anexos HTML que se passam por páginas de login do Microsoft 365.
O kit, que é oferecido em uma base de assinatura por US$ 250 por mês, oferece suporte ao Microsoft Entra ID, AD FS, provedores de SSO de terceiros e contas de consumidor. O Mamba 2FA tem sido usado ativamente desde novembro de 2023.
“Ele lida com verificações em duas etapas para métodos MFA não resistentes a phishing, como códigos únicos e notificações de aplicativos”, disse a empresa francesa de segurança cibernética . “As credenciais e cookies roubados são enviados instantaneamente ao invasor por meio de um bot do Telegram.”
Fonte: thehackernews.com
