Dezenas de organizações em todo o mundo foram alvo de uma ampla campanha de comprometimento de e-mails comerciais (BEC) que envolveu o uso de técnicas Adversary-in-the-Middle (AitM) para realizar os ataques.
"Após uma tentativa bem-sucedida de phishing, o ator de ameaças ganhou acesso inicial a uma conta de funcionário da vítima e executou um ataque de 'Adversary-in-the-Middle' para contornar a autenticação do Office365 e obter acesso persistente àquela conta", disseram pesquisadores da Sygnia em um relatório compartilhado com o The Hacker News.
"Uma vez obtendo a persistência, o ator de ameaças exfiltrou dados da conta comprometida e usou seu acesso para espalhar os ataques de phishing contra outros funcionários da vítima juntamente com várias organizações externas direcionadas".
As descobertas surgem menos de uma semana depois que a Microsoft detalhou uma combinação semelhante de um phishing AitM e um ataque BEC destinado a bancos e organizações de serviços financeiros.
Os golpes BEC geralmente envolvem enganar um alvo por e-mail para enviar dinheiro ou divulgar informações confidenciais da empresa.
Além de personalizar os e-mails para a vítima pretendida, o atacante também pode se passar por uma figura confiável para alcançar seus objetivos.
Isso, por sua vez, pode ser alcançado assumindo o controle da conta por meio de um elaborado esquema de engenharia social, após o qual o golpista envia aos clientes ou fornecedores da empresa faturas falsas que solicitam pagamento para uma conta bancária fraudulenta.
Na cadeia de ataque documentada pela Sygnia, o atacante foi observado enviando um e-mail de phishing contendo um link para um suposto "documento compartilhado" que, em última análise, redirecionou a vítima para uma página de phishing AitM projetada para coletar as credenciais e senhas únicas inseridas.
Além disso, diz-se que os atores de ameaças abusaram do acesso temporário à conta comprometida para registrar um novo dispositivo de autenticação multifator (MFA) a fim de obter um ponto de apoio remoto persistente de um endereço IP diferente localizado na Austrália.
"Além da exfiltração de dados sensíveis da conta da vítima, o ator de ameaças usou esse acesso para enviar novos e-mails de phishing contendo o novo link malicioso para dezenas de funcionários do cliente, bem como para organizações adicionais direcionadas", disseram os pesquisadores da Sygnia.
A empresa de cibersegurança israelense disse ainda que os e-mails de phishing se espalharam de forma "semelhante a um worm" de uma empresa-alvo para outra e entre os funcionários dentro da mesma empresa.
A escala exata da campanha ainda é desconhecida.
O desenvolvimento ocorre quando a Bolster divulgou uma ampla campanha de golpe de impersonação de marca que usa mais de 3.000 domínios copiados para incentivar os usuários a fornecer detalhes de e-mail, senha e cartão de crédito.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...