Campanha EchoSpoofing explora configuração de e-mail
30 de Julho de 2024

Um ator de ameaças desconhecido foi vinculado a uma grande campanha de golpe que explorou uma má configuração de roteamento de email nas defesas do fornecedor de segurança de email Proofpoint para enviar milhões de mensagens falsificando diversas empresas populares como Best Buy, IBM, Nike e Walt Disney, entre outras.

"Esses emails eram ecoados de retransmissores de email oficiais da Proofpoint com assinaturas SPF e DKIM autenticadas, burlando assim as principais proteções de segurança — tudo para enganar os destinatários e roubar fundos e detalhes de cartões de crédito," disse o pesquisador da Guardio Labs, Nati Tal, em um relatório detalhado.

A empresa de cibersegurança nomeou a campanha de EchoSpoofing.

Acredita-se que a atividade tenha começado em janeiro de 2024, com o ator da ameaça explorando a brecha para enviar até três milhões de emails por dia em média, um número que atingiu um pico de 14 milhões no início de junho à medida que a Proofpoint começou a implantar contramedidas.

"A parte mais única e poderosa deste domínio é o método de spoofing – deixando quase nenhuma chance de perceber que este não é um email genuíno enviado por essas empresas," Tal disse à publicação.

Este conceito de EchoSpoofing é realmente poderoso. É meio estranho que esteja sendo usado para phishing em larga escala assim ao invés de uma campanha de spear-phishing boutique – onde um atacante pode rapidamente tomar a identidade de membro de equipe de qualquer empresa real e enviar emails para outros colegas de trabalho – eventualmente, através de engenharia social de alta qualidade, obter acesso a dados internos ou credenciais e até comprometer a empresa inteira.

A técnica, que envolve o ator da ameaça enviando as mensagens de um servidor SMTP em um servidor privado virtual (VPS), é notável pelo fato de que ela cumpre com medidas de autenticação e segurança como SPF e DKIM, que são abreviações para Sender Policy Framework e DomainKeys Identified Mail, respectivamente, e referem-se a métodos de autenticação que são projetados para impedir que atacantes imitem um domínio legítimo.

Tudo isso remonta ao fato de que essas mensagens são roteadas de locatários do Microsoft 365 controlados pelo adversário, que são então retransmitidos através das infraestruturas de email dos clientes empresariais da Proofpoint para alcançar usuários de provedores de email gratuitos como o Yahoo!, Gmail e GMX.

Esse é o resultado do que a Guardio descreveu como uma "falha de má configuração super-permissiva" nos servidores da Proofpoint ("pphosted.com") que essencialmente permitiu que spammers tirassem vantagem da infraestrutura de email para enviar as mensagens.

"A causa raiz é um recurso de configuração de roteamento de email modificado nos servidores da Proofpoint para permitir o retransmissão das mensagens de saída das organizações de locatários do Microsoft 365, mas sem especificar quais locatários do M365 permitir," disse a Proofpoint em um relatório de divulgação coordenada compartilhado com o The Hacker News.

Qualquer infraestrutura de email que ofereça este recurso de configuração de roteamento de e-mail pode ser abusada por spammers.

Dito de outra forma, um atacante pode explorar a deficiência para configurar locatários do Microsoft 365 desonestos e entregar mensagens de email falsificadas para os servidores de retransmissão da Proofpoint, de onde são "ecoadas de volta" como correspondências digitais genuínas se passando pelos domínios dos clientes.

Isso, por sua vez, é realizado configurando o conector de email de saída do Exchange Server diretamente para o endpoint vulnerável "pphosted.com" associado ao cliente.

Além disso, uma versão crackeada de um software legítimo de entrega de email chamado PowerMTA é usada para enviar as mensagens.

"O spammer usou uma série rotativa de VPS alugados de vários provedores, usando muitos endereços IP diferentes para iniciar rápidas rajadas de milhares de mensagens de uma vez de seus servidores SMTP, enviadas para o Microsoft 365 para serem retransmitidas para servidores de clientes hospedados pela Proofpoint," disse a Proofpoint.

O Microsoft 365 aceitou essas mensagens falsificadas e as enviou para as infraestruturas de email desses clientes para serem retransmitidas.

Quando os domínios dos clientes foram falsificados durante a retransmissão através da infraestrutura de email correspondente do cliente, a assinatura DKIM também foi aplicada à medida que as mensagens transpassavam pela infraestrutura da Proofpoint, tornando as mensagens de spam mais entregáveis.

Suspeita-se que o EchoSpoofing tenha sido intencionalmente escolhido pelos operadores como uma maneira de gerar receita ilegal, bem como evitar o risco de exposição por períodos prolongados de tempo, já que o direcionamento direto das empresas através deste modus operandi poderia ter drasticamente aumentado as chances de ser detectado, efetivamente colocando todo o esquema em perigo.

Dito isso, atualmente não está claro quem está por trás da campanha.

A Proofpoint disse que a atividade não se sobrepõe a nenhum ator ou grupo de ameaças conhecido.

"Em março, pesquisadores da Proofpoint identificaram campanhas de spam sendo retransmitidas através de uma pequena quantidade de infraestruturas de email de clientes Proofpoint, enviando spam de locatários do Microsoft 365," disse em um comunicado.

Todas as análises indicam que esta atividade foi conduzida por um ator de spam, cuja atividade não atribuímos a uma entidade conhecida.

Desde a descoberta desta campanha de spam, trabalhamos diligentemente para fornecer instruções corretivas, incluindo a implementação de uma interface administrativa simplificada para clientes especificarem quais locatários do M365 são permitidos retransmitir, com todos os outros locatários do M365 negados por padrão.

A Proofpoint enfatizou que nenhum dado de cliente foi exposto, nem qualquer um deles experimentou perda de dados, como resultado dessas campanhas.

Ela também observou que entrou em contato diretamente com alguns de seus clientes para mudar suas configurações para interromper a eficácia da atividade de spam de retransmissão de saída.

"À medida que começamos a bloquear a atividade do spammer, o spammer acelerou seus testes e rapidamente se moveu para outros clientes," a empresa apontou.

Estabelecemos um processo contínuo de identificar os clientes afetados a cada dia, re-priorizando o alcance para corrigir configurações. Para reduzir o spam, está instando os provedores de VPS a limitar a capacidade de seus usuários de enviar grandes volumes de mensagens de servidores SMTP hospedados em sua infraestrutura.

Também está pedindo aos provedores de serviços de email para restringir as capacidades de locatários de teste gratuito e recém-criados não verificados de enviar mensagens em massa de saída, bem como impedi-los de enviar mensagens que falsifiquem um domínio para o qual não possuem propriedade comprovada.

"Para os CISOs, a principal lição aqui é cuidar extra da postura de nuvem de sua organização — especificamente com o uso de serviços de terceiros que se tornam a espinha dorsal dos métodos de rede e comunicação da sua empresa," disse Tal.

Especificamente no domínio dos emails, sempre mantenha um loop de feedback e controle dos seus próprios – mesmo que você confie plenamente no seu provedor de email. E quanto a outras empresas que fornecem esse tipo de serviços de espinha dorsal – assim como a Proofpoint fez, elas devem ser vigilantes e proativas em pensar em todos os possíveis tipos de ameaças em primeiro lugar.

Não apenas ameaças que afetam diretamente seus clientes, mas o público mais amplo também.

Isso é crucial para a segurança de todos nós e empresas que criam e operam a espinha dorsal da internet, mesmo sendo privadas, têm a maior responsabilidade sobre isso.

Assim como alguém disse, em um contexto completamente diferente, mas tão relevante aqui: 'Com grandes poderes, vem grandes responsabilidades.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...