A Mandiant identificou uma onda recente de ataques de data theft focados em plataformas SaaS, promovidos pelo grupo ShinyHunters, que utiliza esquemas avançados de voice phishing (vishing) e sites personalizados de phishing para roubar credenciais de Single Sign-On (SSO) e códigos de autenticação multifator (MFA).
Segundo as investigações, os cibercriminosos se passam por equipes de TI ou helpdesk das empresas e ligam diretamente para funcionários, alegando a necessidade de atualizar as configurações de MFA.
Durante a ligação, o alvo é direcionado a um site de phishing que imita o portal de login da empresa.
De acordo com a Okta, esses sites contam com kits sofisticados de phishing que apresentam diálogos interativos enquanto o atacante conversa em tempo real com a vítima ao telefone.
Dessa forma, o invasor consegue capturar as credenciais, acionar desafios legítimos de MFA e orientar o usuário a aprovar notificações push ou inserir códigos temporários, garantindo o acesso.
Com as credenciais comprometidas, os atacantes se autenticam e registram seus próprios dispositivos no MFA da vítima.
Em seguida, acessam o dashboard de SSO da organização — gerenciado pela Okta, Microsoft Entra ou Google — que centraliza todas as plataformas SaaS autorizadas para aquele usuário.
Entre os alvos mais visados estão Salesforce, Microsoft 365, SharePoint, DocuSign, Slack, Atlassian, Dropbox, Google Drive e outras ferramentas internas ou de terceiros.
Para grupos focados em roubo de dados e extorsão, o painel de SSO funciona como ponto de partida estratégico para obter acesso a múltiplos serviços a partir de uma única conta comprometida.
Pouco depois, começaram a divulgar dados roubados em um site específico para vazamentos.
O Google Threat Intelligence Group, em parceria com a Mandiant, publicou um relatório detalhando a atividade, designada como UNC6661, UNC6671 e UNC6240 — todas associadas aos ShinyHunters.
A Mandiant afirma que o grupo UNC6661 finge ser equipe de TI para conduzir as chamadas de vishing, usando domínios que simulam a marca da empresa para capturar credenciais de SSO e códigos MFA.
Após o acesso, eles registram dispositivos próprios para manter o controle das contas comprometidas e aproveitam as permissões para roubar dados.
Embora o ataque atue de forma oportunista, os alvos principais são dados do Salesforce, conforme já declarado pelo ShinyHunters.
A Mandiant apresentou logs que evidenciam o uso de PowerShell para baixar arquivos do Microsoft 365 e SharePoint, atividades de login no Salesforce originadas de IPs dos invasores e auditorias que mostram downloads em massa no DocuSign.
Em um caso envolvendo cliente da Okta, os atacantes ativaram um add-on do Google Workspace chamado "ToogleBox Recall" para buscar e eliminar e-mails, apagando provas das ações.
Eles chegaram a remover notificações de alteração de MFA para dificultar a detecção da invasão.
Os domínios usados geralmente seguem padrões que imitam portais corporativos, como:
- Corporate SSO portals: <empresa>sso.com, my<empresa>sso.com
- Internal portals: <empresa>internal.com, www.<empresa>internal.com
- Support/helpdesk: <empresa>support.com, ticket-<empresa>.support
- Impersonação de provedores de identidade: <empresa>okta.com, <empresa>azure.com
- Access portals: <empresa>access.com, www.<empresa>access.com
Um exemplo recente é o domínio matchinternal.com, vinculado à violação de dados da Match Group, que expôs informações dos sites de relacionamento Hinge, Tinder, OkCupid e Match.
Os IPs relacionados à campanha geralmente têm origem em serviços comerciais de VPN ou proxies residenciais, como Mullvad, Oxylabs, NetNut, entre outros.
Para ajudar a identificar esses ataques, a Mandiant recomenda monitorar comportamentos como:
- Comprometimento de contas SSO seguido por rápida exfiltração de dados em SaaS
- Acesso a SharePoint ou OneDrive usando PowerShell como User-Agent
- Autorizações OAuth inesperadas no Google Workspace para o add-on ToogleBox Recall
- Exclusão de e-mails de notificações relacionadas a modificações em MFA
Como contramedida, a Mandiant publicou orientações para fortalecer fluxos de autenticação, registrar telemetria detalhada e detectar comportamentos pós-vishing, permitindo ações antes que ocorra o roubo de dados.
Além disso, disponibilizou regras específicas para Google SecOps, facilitando a identificação das atividades do grupo ShinyHunters.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...