Hackers estão utilizando uma técnica inovadora que combina links legítimos do office.com com os Serviços de Federação do Active Directory (ADFS) para redirecionar usuários para uma página de phishing que rouba logins do Microsoft 365.
O método permite que os invasores contornem a detecção baseada em URLs tradicionais e o processo de autenticação multifator ao aproveitar um domínio confiável na infraestrutura da Microsoft para o redirecionamento inicial.
Pesquisadores da Push Security, uma empresa que fornece soluções de proteção contra ataques baseados em identidade, analisaram uma campanha recente que visou vários de seus clientes e redirecionou funcionários de um link legítimo do outlook.office.com para um site de phishing.
Embora a página de phishing não apresentasse elementos especiais que impediriam sua detecção, o método de entrega utilizou a infraestrutura confiável para evitar acionar agentes de segurança.
A Push Security determinou que o ataque de phishing começou com o alvo clicando em um link patrocinado malicioso nos resultados de pesquisa do Google para o Office 265 (provavelmente um erro de digitação).
Clicar no resultado malicioso direcionaria o alvo para o Office da Microsoft, que por sua vez redirecionava para outro domínio, bluegraintours[.]com, que redirecionava novamente para uma página de phishing configurada para coletar credenciais.
À primeira vista, chegar à página maliciosa parecia ter acontecido como um redirecionamento do domínio office.com da Microsoft, sem envolver nenhum e-mail de phishing.
Ao investigar os incidentes, os pesquisadores da Push Security descobriram que "o invasor configurou um inquilino personalizado da Microsoft com os Serviços de Federação do Active Directory (ADFS) configurados."
ADFS é uma solução de single sign-on (SSO) da Microsoft que permite aos usuários acessar múltiplos aplicativos, tanto dentro quanto fora da rede corporativa, usando um único conjunto de credenciais de login.
Embora o serviço continue disponível no Windows Server 2025 e não haja planos oficiais para descontinuá-lo, a Microsoft tem incentivado os clientes a migrarem para o Azure Active Directory (Azure AD) para gerenciamento de identidade e acesso (IAM).
Ao controlar um inquilino da Microsoft, o invasor foi capaz de usar o ADFS para receber solicitações de autorização do domínio bluegraintours, que atuava como um provedor de IAM, para permitir a autenticação na página de phishing.
Como o site bluegraintours é invisível para o alvo durante a cadeia de redirecionamento, o invasor o preencheu com posts falsos de blog e detalhes suficientes para parecer legítimo aos scanners automatizados.
A análise adicional do ataque revelou que o ator da ameaça implementou restrições de carregamento condicional que dão acesso à página de phishing apenas aos alvos considerados válidos.
Se um usuário não atender às condições, ele é automaticamente redirecionado para o site legítimo do office.com, dizem os pesquisadores.
Jacques Louw, co-fundador e Chefe de Produto da Push Security, disse que esses ataques não parecem ter como alvo uma indústria ou funções de trabalho específicas, e podem ser o resultado de um ator de ameaça experimentando novos métodos de ataque.
O Microsoft ADFS já foi usado em campanhas de phishing antes, mas os invasores falsificavam a página de login do ADFS da organização alvo para roubar credenciais.
Para se proteger contra esse tipo de ataques, a Push Security recomenda um conjunto de medidas que incluem monitoramento de redirecionamentos do ADFS para locais maliciosos.
Já que o ataque investigado começou a partir de malvertising, os pesquisadores também aconselham as empresas a verificar parâmetros de anúncio nos redirecionamentos do Google para o office.com, pois isso pode revelar domínios maliciosos ou redirecionamentos para páginas de phishing.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...