Os analistas de ameaças da Microsoft descobriram uma campanha de phishing multifásica em larga escala que usa credenciais roubadas para registrar dispositivos na rede do alvo e usá-los para distribuir e-mails de phishing.

 

Como o relatório destaca, os ataques manifestaram-se apenas por meio de contas que não possuíam proteção de autenticação multifator (MFA), o que facilitou o sequestro.

 

O agente da ameaça implantou os ataques em dois estágios, o primeiro projetado para roubar as credenciais de e-mail do destinatário, atraindo-os com e-mails com o tema DocuSign que exigiam a revisão e assinatura de um documento.

 

Os links incorporados levam a vítima a um URL de phishing que imita a página de login do Office 365 e preenche previamente o nome de usuário da vítima para aumentar a credibilidade.

 

Um filtro de spam que não o era

 

Microsoft conseguiu identificar a ameaça detectando a criação anômala de regras de caixa de entrada, que os atores adicionaram imediatamente após obter o controle de uma caixa de entrada para impedir a entrada de mensagens de notificação de TI que poderiam desencadear suspeitas.

 

“Aproveitando a conexão remota do PowerShell, o invasor implementou uma regra de caixa de entrada por meio do cmdlet New-InboxRule que excluiu determinadas mensagens com base em palavras-chave no assunto ou no corpo da mensagem de email” – os detalhes do relatório.

 

A investigação que se seguiu revelou que mais de cem caixas de correio em várias organizações foram comprometidas com regras de caixa de correio maliciosas chamadas “Filtro de Spam”.

 

Registro do Azure AD

 

Com as credenciais em mãos, os invasores instalaram o Outlook na sua própria máquina (Windows 10) e efetuaram login na conta de e-mail do usuário. Essa ação fez com que o dispositivo do invasor se conectasse automaticamente ao Azure Active Directory da empresa e o registrasse.

 

Isso provavelmente ocorreu devido à aceitação da primeira experiência de inicialização do Outlook registrando as credenciais roubadas, observa a Microsoft, acrescentando que uma política de MFA no Azure AD não permitiria o registro não autorizado.

 

Depois que o dispositivo do invasor foi adicionado à rede da organização, o agente da ameaça passou para o segundo estágio, enviando e-mails para funcionários da empresa-alvo e alvos externos, como contratados, fornecedores ou parceiros.

 

Como essas mensagens vêm de um espaço de trabalho confiável, elas não são sinalizadas por soluções de segurança e carregam um elemento intrínseco de legitimidade que aumenta as chances de sucesso dos atores.

Ao registrar dispositivos não autorizados, o agente da ameaça provavelmente esperava impor políticas que facilitassem o phishing lateral.

 

O Azure AD aciona um carimbo de data/hora de atividade quando um dispositivo tenta se autenticar, o que foi uma segunda oportunidade para os defensores descobrirem os registros suspeitos.

 

Se o registro passar despercebido, os atores poderão enviar mensagens de uma parte reconhecida e confiável do domínio usando as credenciais válidas roubadas no Outlook.

 

A segunda onda de mensagens de phishing foi muito maior que a primeira, contando mais de 8.500 e-mails com temas do SharePoint com um anexo “Payment.pdf”.

 

Essa campanha de phishing foi engenhosa e moderadamente bem-sucedida, mas não seria tão eficaz se as empresas visadas seguissem uma destas práticas:

 

Todos os funcionários habilitaram a MFA em suas contas do Office 365.

 

  • Implante soluções de proteção de endpoint que possam detectar a criação de regras de caixa de entrada;
  • O registro do dispositivo do Azure AD é monitorado de perto;
  • O registro do Azure AD requer MFA;
  • As políticas de confiança zero são empregadas em todas as partes da rede da organização.
Partilhe este artigo