Cibercriminosos estão cada vez mais se valendo de ferramentas legítimas de clientes HTTP para facilitar ataques de takeover de contas (ATO) em ambientes do Microsoft 365.
A empresa de segurança empresarial Proofpoint informou que observou campanhas usando clientes HTTP como Axios e Node Fetch para enviar solicitações HTTP e receber respostas HTTP de servidores web com o objetivo de realizar ataques de ATO.
"Originalmente originadas de repositórios públicos como o GitHub, essas ferramentas estão sendo cada vez mais utilizadas em ataques como Adversary-in-the-Middle (AitM) e técnicas de força bruta, levando a numerosos incidentes de takeover de contas (ATO)", disse a pesquisadora de segurança Anna Akselevich.
O uso de ferramentas de clientes HTTP para ataques de força bruta é uma tendência observada há muito tempo, desde pelo menos fevereiro de 2018, com iterações sucessivas empregando variantes de clientes OkHttp para mirar ambientes Microsoft 365 ao menos até o início de 2024.
Mas até março de 2024, a Proofpoint disse que começou a observar uma ampla gama de clientes HTTP ganhando tração, com os ataques atingindo um novo ápice, de tal forma que 78% dos inquilinos do Microsoft 365 foram alvo de pelo menos uma tentativa de ATO na segunda metade do último ano.
"Em maio de 2024, esses ataques atingiram o pico, alavancando milhões de IPs residenciais sequestrados para mirar em contas na nuvem", disse Akselevich.
O volume e a diversidade dessas tentativas de ataque são evidenciados pelo surgimento de clientes HTTP como Axios, Go Resty, Node Fetch e Python Requests, com aqueles que combinam segmentação precisa com técnicas de AitM alcançando uma taxa de comprometimento maior.
O Axios, conforme a Proofpoint, é projetado para Node.js e navegadores e pode ser emparelhado com plataformas AitM como Evilginx para habilitar o roubo de credenciais e códigos de autenticação multifator (MFA).
Os atores de ameaças também foram observados configurando novas regras de caixa de entrada para ocultar evidências de atividades maliciosas, roubando dados sensíveis e até registrando uma nova aplicação OAuth com escopos de permissão excessivos para estabelecer acesso remoto persistente ao ambiente comprometido.
Diz-se que a campanha do Axios visou principalmente alvos de alto valor como executivos, diretores financeiros, gerentes de conta e pessoal operacional em verticais como transporte, construção, finanças, TI e saúde.
Mais de 51% das organizações visadas foram avaliadas como sendo impactadas com sucesso entre junho e novembro de 2024, comprometendo 43% das contas de usuários alvo.
A empresa de cibersegurança também detectou uma campanha de pulverização de senhas em larga escala usando clientes Node Fetch e Go Resty, registrando nada menos que 13 milhões de tentativas de login desde 9 de junho de 2024, com média de mais de 66.000 tentativas maliciosas por dia.
No entanto, a taxa de sucesso permaneceu baixa, afetando apenas 2% das entidades visadas.
Mais de 178.000 contas de usuários alvos em 3.000 organizações foram identificadas até o momento, a maioria pertencente ao setor de educação, particularmente contas de usuários estudantis que provavelmente são menos protegidas e podem ser armas para outras campanhas ou vendidas para diferentes atores de ameaças.
"As ferramentas dos atores de ameaças para ataques de ATO evoluíram consideravelmente, com várias ferramentas de clientes HTTP usadas para explorar APIs e fazer solicitações HTTP", disse Akselevich.
Essas ferramentas oferecem vantagens distintas, tornando os ataques mais eficientes. Dado essa tendência, é provável que os atacantes continuem alternando entre ferramentas de clientes HTTP, adaptando estratégias para aproveitar novas tecnologias e evitar detecção, refletindo um padrão mais amplo de evolução constante para aprimorar sua eficácia e minimizar a exposição.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...