A Microsoft alerta sobre campanhas de ataques cibernéticos que abusam de serviços legítimos de hospedagem de arquivos, como SharePoint, OneDrive e Dropbox, amplamente utilizados em ambientes empresariais como forma de contornar a segurança.
O objetivo final das campanhas é amplo e variado, o que permite que os agentes de ameaças comprometam identidades e dispositivos e conduzam ataques de e-mail empresarial (BEC), levando a fraudes financeiras, exfiltração de dados e movimentação coordenada de outros terminais.
O armamento de serviços legítimos de Internet (LIS) é uma ameaça crescente que os adversários estão adotando para interceptar o tráfego de rede de tal forma que muitas vezes contorna as defesas tradicionais e complica os esforços de recuperação.
Essa abordagem também é chamada de living-off-trusted-sites (LOTS), pois aumenta a confiança e a familiaridade desses serviços para evitar a segurança de e-mail e distribuir malware.
A Microsoft disse que estava observando uma nova tendência de campanhas de phishing usando serviços legítimos de hospedagem de arquivos a partir de meados de abril de 2024, que inclui arquivos com acesso limitado e restrições somente de visualização.
Esses ataques geralmente começam com um usuário comprometido dentro de um fornecedor confiável, que usa o acesso a arquivos maliciosos para preparar e carregar cargas para um serviço de hospedagem de arquivos para posterior compartilhamento com a empresa alvo.
“Os arquivos enviados em e-mails de phishing são configurados para serem acessíveis apenas ao destinatário designado”, afirmou. “Isso exige que o destinatário entre em um serviço de compartilhamento de arquivos – seja Dropbox, OneDrive ou SharePoint – ou se autentique novamente inserindo seu endereço de e-mail e a senha de uso único (OTP) que recebeu por meio do serviço de notificação.”
Além disso, os arquivos compartilhados como parte de um ataque de phishing são definidos no modo “somente visualização”, o que impede a capacidade de baixar e encontrar URLs incorporados ao arquivo.
O destinatário que tenta acessar o arquivo compartilhado é então solicitado a verificar sua identidade, fornecendo seu endereço de e-mail e uma senha de uso único enviada para sua conta de e-mail.
Depois de aprovados com sucesso, o alvo é instruído a clicar em outro link para visualizar o conteúdo original. No entanto, isso os redireciona para uma página de phishing que rouba senhas e tokens de autenticação de dois fatores (2FA).
Isto não só permite que os agentes da ameaça tomem o controlo da conta, mas também a utilizem para promover outras fraudes, incluindo ataques BEC e fraudes financeiras.
“Embora essas campanhas sejam comuns e de natureza oportunista, elas incluem técnicas sofisticadas de engenharia social, evitando a detecção e aumentando o acesso dos atores da ameaça a outras contas e empregadores”, disse a equipe do Microsoft Threat Intelligence.
O desenvolvimento ocorre no momento em que Sekoia descreve um kit de phishing AitM chamado Mamba 2FA que é vendido como phishing-as-a-service (PhaaS) para outros atores de ameaças para conduzir campanhas de phishing que distribuem anexos HTML que fazem login nas páginas do Microsoft 365.
O kit, oferecido em uma assinatura de US$ 250 por mês, oferece suporte a Microsoft Entra ID, AD FS, provedores de SSO terceirizados e contas de consumidores. O Mamba 2FA está implementado desde novembro de 2023.
“Ele lida com a verificação em duas etapas de métodos MFA que resistem a ataques de phishing, como códigos únicos e notificações push”, disse a empresa francesa de segurança cibernética. “Informações e cookies roubados são enviados instantaneamente ao invasor por meio de um bot do Telegram.”
