Microsoft detecta hospedagem de arquivos em ataques de e-mail corporativo

Microsoft detecta uso crescente de serviços de hospedagem de arquivos em ataques de comprometimento de e-mail corporativo

A Microsoft emitiu um alerta sobre campanhas de ataques cibernéticos que estão explorando serviços legítimos de hospedagem de arquivos, como SharePoint, OneDrive e Dropbox, amplamente utilizados em ambientes corporativos, como uma tática para evasão de defesas de segurança.

O objetivo final dessas campanhas é variado, permitindo que os agentes mal-intencionados comprometam identidades e dispositivos e realizem ataques de comprometimento de e-mail corporativo (BEC, na sigla em inglês), o que em última análise, resulta em fraudes financeiras, exfiltração de dados e movimentos laterais para outros pontos da rede.

A utilização de serviços legítimos da internet (LIS, na sigla em inglês) tem se tornado uma prática cada vez mais popular entre os adversários. Ao utilizarem esses serviços, os invasores conseguem se misturar ao tráfego legítimo da rede, o que permite contornar defesas tradicionais e dificulta os esforços de atribuição dos ataques.

Essa abordagem é conhecida como living-off-trusted-sites (LOTS), ou “vivendo de sites confiáveis”, aproveitando a confiança e familiaridade desses serviços para driblar as proteções de segurança de e-mail e distribuir malwares.

 

Business Email Compromise Attacks

 

Desde meados de abril de 2024, a Microsoft observou uma nova tendência em campanhas de phishing que exploram serviços legítimos de hospedagem de arquivos. Essas campanhas envolvem arquivos com acesso restrito e permissões de “somente visualização”.

Esses ataques geralmente começam com o comprometimento de um usuário dentro de um fornecedor confiável. O invasor, então utiliza esse acesso para preparar arquivos maliciosos e cargas úteis nos serviços de hospedagem de arquivos, que são posteriormente compartilhados com uma entidade-alvo.

“Os arquivos enviados por meio de e-mails de phishing são configurados para serem acessíveis apenas para o destinatário designado”, afirmou a Microsoft. “Isso exige que o destinatário faça login no serviço de compartilhamento de arquivos, ou seja Dropbox, OneDrive ou SharePoint, ou que se reautentique inserindo seu endereço de e-mail junto com uma senha de uso único (OTP) recebida por um serviço de notificação.”

Além disso, os arquivos compartilhados como parte dos ataques de phishing estão configurados no modo “somente visualização”, impedindo que o usuário faça o download e detecte URLs incorporados no arquivo.

Quando o destinatário tenta acessar o arquivo, é solicitado que ele verifique sua identidade fornecendo seu endereço de e-mail e uma senha de uso único enviada para sua conta de e-mail. Após a autorização bem-sucedida, o alvo é instruído a clicar em outro link para visualizar o conteúdo real. No entanto, esse link o redireciona para uma página de phishing adversary-in-the-middle (AitM), que rouba sua senha e os tokens de autenticação de dois fatores (2FA).

Isso não apenas permite que os invasores assumam o controle da conta, mas também utilizem esse acesso para realizar outros golpes, incluindo ataques BEC e fraudes financeiras.

 
Business Email Compromise Attacks
 

“Embora essas campanhas sejam genéricas e oportunistas por natureza, elas envolvem técnicas sofisticadas para realizar engenharia social, evadir detecções e expandir o alcance dos invasores para outras contas e locatários”, destacou a equipe de Inteligência de Ameaças da Microsoft.

Esse desenvolvimento ocorre enquanto a Sekoia detalhou um novo kit de phishing AitM chamado Mamba 2FA, vendido como phishing-as-a-service (PhaaS) para outros agentes de ameaça, visando campanhas de phishing de e-mail com anexos HTML que imitam páginas de login do Microsoft 365.

O kit, que é oferecido por assinatura por US$ 250 por mês, suporta o Microsoft Entra ID, AD FS, provedores de SSO de terceiros e contas de consumidor. O Mamba 2FA tem sido utilizado ativamente desde novembro de 2023.

“Ele lida com verificações em duas etapas para métodos de MFA não resistentes a phishing, como códigos de uso único e notificações de aplicativos”, informou a empresa francesa de cibersegurança. “As credenciais e cookies roubados são instantaneamente enviados ao atacante via bot do Telegram.”

 

Fonte e Imagens: https://thehackernews.com/2024/10/microsoft-detects-growing-use-of-file.html