Dropbox é usado para burlar MFA em campanha de phishing
11 de Março de 2024

Uma nova campanha de phishing explorou a infraestrutura do Dropbox e contornou com sucesso os protocolos de autenticação multifator (MFA), revela uma nova pesquisa da Darktrace.

A empresa de segurança cibernética destaca a crescente exploração de serviços populares legítimos, como o serviço de armazenamento de arquivos na nuvem, para induzir os alvos a baixar malwares e revelar credenciais de login.

As descobertas também mostram como os invasores estão se tornando "especialistas" em evitar protocolos de segurança padrão, incluindo ferramentas de detecção de email e MFA.

No ataque ao Dropbox, os invasores miraram um cliente da Darktrace no dia 25 de janeiro de 2024, com 16 usuários internos no ambiente SaaS (software como serviço) da organização recebendo um email de 'no-reply@dropbox[.]com.' Este é um endereço de email legítimo usado pelo serviço de armazenamento de arquivos Dropbox.

O email continha um link que levaria o usuário a um arquivo PDF hospedado no Dropbox, que aparentemente tinha o nome de um parceiro da organização.

Esse arquivo PDF continha um link suspeito para um domínio que nunca havia sido visto anteriormente no ambiente do cliente, denominado ‘mmv-security[.]top.’

Os pesquisadores observaram que há "muito pouco para distinguir" emails maliciosos ou benignos de emails automatizados usados por serviços legítimos como o Dropbox.

Portanto, essa abordagem é eficaz para escapar das ferramentas de segurança de email e convencer os alvos a clicarem em um link malicioso.

O email foi detectado e retido pela ferramenta de segurança de email da Darktrace.

No entanto, em 29 de janeiro, um usuário recebeu outro email do endereço legítimo no-reply@dropbox[.]com, lembrando-o de abrir o arquivo PDF compartilhado anteriormente.

Embora a mensagem tenha sido movida para a lixeira do usuário, o funcionário abriu o email suspeito e seguiu o link para o arquivo PDF.

O dispositivo interno conectou-se ao link malicioso mmv-security[.]top alguns dias depois.

Esse link levava a uma página de login falsa do Microsoft 365, criada para coletar credenciais de titulares legítimos de contas SaaS.

Os pesquisadores acrescentaram que a abordagem de se passar por organizações confiáveis como a Microsoft é uma maneira eficaz de parecer legítimo para os alvos.

Em 31 de janeiro, a Darktrace observou vários logins SaaS suspeitos de diversos locais incomuns que nunca haviam acessado a conta anteriormente.

Logins incomuns no dia 1º de fevereiro foram associados ao ExpressVPN, indicando que os operadores da ameaça usaram uma rede privada virtual (VPN) para mascarar sua localização real.

Esses logins pareciam usar um token MFA válido, sugerindo que os invasores conseguiram contornar a política de MFA da organização.

Veja isso: Dropbox é usado para roubo de credenciais via phishing.

Hackers acessam 130 repositórios de código-fonte do Dropbox.

Os pesquisadores acreditam que o funcionário pode ter aprovado, sem saber, uma solicitação de autenticação MFA para autenticação em seu próprio dispositivo, uma vez que as credenciais foram comprometidas.

Apesar dos invasores contornarem a MFA com credenciais legítimas, a equipe de segurança da organização ainda foi alertada sobre atividades suspeitas após identificar ações inesperadas nas contas SaaS.

Os pesquisadores observaram que é "relativamente simples" para invasores usarem soluções legítimas de terceiros, como o Dropbox, para ataques de phishing, ao invés de dependerem de sua própria infraestrutura.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...