Campanha de Ataque Adversary-in-the-Middle Afeta Dezenas de Organizações Globais
14 de Junho de 2023

Dezenas de organizações em todo o mundo foram alvo de uma ampla campanha de comprometimento de e-mails comerciais (BEC) que envolveu o uso de técnicas Adversary-in-the-Middle (AitM) para realizar os ataques.

"Após uma tentativa bem-sucedida de phishing, o ator de ameaças ganhou acesso inicial a uma conta de funcionário da vítima e executou um ataque de 'Adversary-in-the-Middle' para contornar a autenticação do Office365 e obter acesso persistente àquela conta", disseram pesquisadores da Sygnia em um relatório compartilhado com o The Hacker News.

"Uma vez obtendo a persistência, o ator de ameaças exfiltrou dados da conta comprometida e usou seu acesso para espalhar os ataques de phishing contra outros funcionários da vítima juntamente com várias organizações externas direcionadas".

As descobertas surgem menos de uma semana depois que a Microsoft detalhou uma combinação semelhante de um phishing AitM e um ataque BEC destinado a bancos e organizações de serviços financeiros.

Os golpes BEC geralmente envolvem enganar um alvo por e-mail para enviar dinheiro ou divulgar informações confidenciais da empresa.

Além de personalizar os e-mails para a vítima pretendida, o atacante também pode se passar por uma figura confiável para alcançar seus objetivos.

Isso, por sua vez, pode ser alcançado assumindo o controle da conta por meio de um elaborado esquema de engenharia social, após o qual o golpista envia aos clientes ou fornecedores da empresa faturas falsas que solicitam pagamento para uma conta bancária fraudulenta.

Na cadeia de ataque documentada pela Sygnia, o atacante foi observado enviando um e-mail de phishing contendo um link para um suposto "documento compartilhado" que, em última análise, redirecionou a vítima para uma página de phishing AitM projetada para coletar as credenciais e senhas únicas inseridas.

Além disso, diz-se que os atores de ameaças abusaram do acesso temporário à conta comprometida para registrar um novo dispositivo de autenticação multifator (MFA) a fim de obter um ponto de apoio remoto persistente de um endereço IP diferente localizado na Austrália.

"Além da exfiltração de dados sensíveis da conta da vítima, o ator de ameaças usou esse acesso para enviar novos e-mails de phishing contendo o novo link malicioso para dezenas de funcionários do cliente, bem como para organizações adicionais direcionadas", disseram os pesquisadores da Sygnia.

A empresa de cibersegurança israelense disse ainda que os e-mails de phishing se espalharam de forma "semelhante a um worm" de uma empresa-alvo para outra e entre os funcionários dentro da mesma empresa.

A escala exata da campanha ainda é desconhecida.

O desenvolvimento ocorre quando a Bolster divulgou uma ampla campanha de golpe de impersonação de marca que usa mais de 3.000 domínios copiados para incentivar os usuários a fornecer detalhes de e-mail, senha e cartão de crédito.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...