A Microsoft alerta para o aumento de ciberataques que utilizam serviços legítimos de hospedagem de arquivos para comprometer e-mails comerciais e realizar fraudes
A Microsoft tem alertado sobre campanhas de ataques cibernéticos que abusam de serviços legítimos de hospedagem de arquivos, como SharePoint, OneDrive e Dropbox, amplamente usados em ambientes corporativos como uma táctica de evasão de defesa.
O objectivo final das campanhas é amplo e variado, de modo a permitir que agentes de ciberameaças comprometam identidades e dispositivos e conduzam ataques de comprometimento de e-mail comercial (BEC), que acabam resultando em fraude financeira, exfiltração de dados e movimentação lateral para outros endpoints.
A utilização de serviços legítimos de internet (LIS) como arma é um vector de risco cada vez mais popular, adoptado por adversários para se misturar ao tráfego de rede legítimo de uma maneira que muitas vezes ignora as defesas de segurança tradicionais e complica os esforços de atribuição.
A abordagem também é chamada de living-off-trusted-sites (LOTS), pois aproveita a confiança e a familiaridade desses serviços para contornar as protecções de segurança de e-mail e distribuir malware.
Segundo a Microsoft, observações têm sido feitas em torno de uma nova tendência em campanhas de phishing na exploração de serviços legítimos de hospedagem de arquivos desde meados de Abril de 2024, envolvendo arquivos com acesso restrito e restrições para “somente visualização”.
Esses ataques começam geralmente com o comprometimento de um usuário dentro de um fornecedor confiável, aproveitando o acesso para preparar arquivos maliciosos e cargas úteis no serviço de hospedagem de arquivos para compartilhamento subsequente com uma entidade alvo.
Além disso, os arquivos compartilhados como parte dos ataques de phishing são definidos no modo “somente visualização”, impedindo a capacidade de baixar e detectar URLs incorporadas no arquivo.
O destinatário que tenta acessar o arquivo compartilhado é então solicitado a verificar sua identidade fornecendo seu endereço de e-mail e uma senha de uso único enviada para sua conta de e-mail.
Uma vez autorizados com sucesso, o alvo é instruído a clicar em outro link para visualizar o conteúdo real. No entanto, isso os redirecciona para uma página de phishing adversary-in-the-middle (AitM) que rouba sua senha e tokens de autenticação de dois factores (2FA).
Isso não só permite que os invasores assumam o controle da conta, mas também a utilizem para perpetuar outros golpes, incluindo ataques de BEC e fraudes financeiras.
“Embora essas campanhas sejam genéricas e oportunistas por natureza, elas envolvem técnicas sofisticadas para executar engenharia social, evitar detecção e expandir o alcance dos agentes de ameaças para outras contas e inquilinos”, disse a equipe de Inteligência de Ameaças da Microsoft.
O desenvolvimento ocorre no momento em que Sekoia detalhou um novo kit de phishing AitM chamado Mamba 2FA, vendido como phishing como serviço (PhaaS) para outros agentes de ameaças para conduzir campanhas de phishing por e-mail que propagam anexos HTML que se passam por páginas de login do Microsoft 365.
O kit, que é oferecido numa base de assinatura por US$ 250 por mês, oferece suporte ao Microsoft Entra ID, AD FS, provedores de SSO de terceiros e contas de consumidor. O Mamba 2FA tem sido usado activamente desde Novembro de 2023.
Segundo a empresa francesa de segurança cibernética, o kit lida com verificações em duas etapas para métodos MFA não resistentes a phishing, como códigos únicos e notificações de aplicativos.
“As credenciais e cookies roubados são enviados instantaneamente ao invasor por meio de um bot do Telegram”, referiu a instituição.