Hackers exploraram vulnerabilidade zero-day no Salesforce em ataque de phishing ao Facebook
3 de Agosto de 2023

Hackers exploraram uma vulnerabilidade de zero-day nos serviços de email da Salesforce e servidores SMTP para lançar uma campanha sofisticada de phishing visando contas valiosas do Facebook.

Os invasores combinaram uma falha apelidada de "PhishForce", para contornar as salvaguardas de verificação de remetente da Salesforce e peculiaridades na plataforma de jogos da web do Facebook para enviar em massa emails de phishing.

A vantagem de usar um gateway de email confiável como a Salesforce para distribuir emails de phishing é a evasão de gateways de email seguros e regras de filtragem, garantindo que os emails maliciosos cheguem à caixa de entrada do alvo.

A campanha foi descoberta pelos analistas do Guardio Labs, Oleg Zaytsev e Nati Tal, que relataram a vulnerabilidade desconhecida à Salesforce e ajudaram no processo de remediação.

No entanto, os problemas descobertos na plataforma de jogos do Facebook ainda estão pendentes, já que os engenheiros da Meta ainda estão tentando descobrir por que as medidas existentes falharam em parar os ataques.

O CRM da Salesforce permite que os clientes enviem emails como sua própria marca, usando domínios personalizados que a plataforma deve verificar primeiro.

Isso protege os clientes de enviarem emails através da Salesforce como outras marcas que eles não têm permissão para se passar.

No entanto, o Guardio Labs diz que os invasores descobriram uma maneira de explorar o recurso "Email para Caso" da Salesforce, que as organizações usam para converter emails recebidos dos clientes em tickets a serem ação das suas equipes de suporte.

Especificamente, os atacantes configuraram um novo fluxo de "Email para Caso" para tomar controle de um endereço de email gerado pela Salesforce, e então, criaram um novo endereço de email de entrada no domínio "salesforce".

Em seguida, definiram esse endereço como "Endereço de Email Corporativo", que o Gateway Mass Mailer da Salesforce usa para emails de saída, e, finalmente, passou pelo processo de verificação para confirmar a propriedade do domínio.

Este processo permitiu que eles usassem seu endereço de email Salesforce para enviar mensagens para qualquer pessoa, contornando tanto as proteções de verificação da Salesforce quanto quaisquer outros filtros de email e sistemas anti-phishing.

De fato, isso é o que o Guardio Labs observou em campo, com emails de phishing que supostamente vieram da "Meta Platforms" usando o domínio "case.salesforce.com".

Clicar no botão incorporado leva a vítima para uma página de phishing hospedada e exibida como parte da plataforma de jogos do Facebook ("apps.facebook.com"), o que adiciona mais legitimidade ao ataque e torna ainda mais difícil para os destinatários perceberem a fraude.

O objetivo do kit de phishing usado nesta campanha é roubar as credenciais da conta do Facebook, apresentando até mesmo mecanismos para burlar a autenticação de dois fatores.

Após confirmar os problemas ao replicar a criação de um endereço de marca Salesforce capaz de disseminar emails de phishing, o Guardio Labs notificou o fornecedor de sua descoberta em 28 de junho de 2023.

A Salesforce reproduziu a vulnerabilidade e resolveu o problema exatamente um mês depois, em 28 de julho de 2023.

Quanto ao abuso de "apps.facebook.com", o Guardio Labs observa que deveria ser impossível para os atacantes criarem a tela do jogo usada como página inicial, pois o Facebook aposentou essa plataforma em julho de 2020.

No entanto, contas legadas que usaram a plataforma antes de sua desativação ainda têm acesso, e os atores da ameaça podem estar pagando um prêmio por essas contas na dark web.

Meta removeu as páginas violadoras após o relatório do Guardio Labs; no entanto, seus engenheiros ainda estão investigando por que as proteções existentes falharam em impedir os ataques.

Como os actores do phishing continuam a explorar todas as possíveis oportunidades de abuso em provedores de serviços legítimos, novas brechas de segurança ameaçam constantemente expor os usuários a riscos severos.

Por isso, é essencial não confiar apenas em soluções de proteção de email.

É importante também analisar todos os emails que chegam à sua caixa de entrada, procurar por inconsistências e verificar todas as afirmações feitas nessas mensagens.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...