A Microsoft alertou para uma campanha sofisticada de phishing multietapas e business email compromise (BEC) que está atacando diversas organizações do setor de energia.
O ataque combina técnicas de adversary-in-the-middle (AitM), explorando serviços legítimos da Microsoft, como o SharePoint, para distribuir payloads maliciosos e manter persistência por meio da criação automática de regras na caixa de entrada.
Segundo o time de segurança do Microsoft Defender, a campanha tem início com um e-mail de phishing enviado a partir de um endereço legítimo previamente comprometido, pertencente a uma organização confiável.
Os invasores se passam por fluxos de compartilhamento de documentos do SharePoint para enganar as vítimas, induzindo-as a clicar em URLs maliciosas.
Essa estratégia, conhecida como living-off-the-trusted-sites (LOTS), usa a familiaridade com as plataformas para burlar mecanismos tradicionais de detecção em e-mails.
Ao clicar no link, o usuário é direcionado a uma página falsa que simula uma solicitação de credenciais para visualizar um documento.
Com acesso às credenciais roubadas e ao cookie de sessão, os atacantes criam regras na caixa de entrada para eliminar notificações de mensagens recebidas e marcar e-mails como lidos, garantindo que a vítima permaneça desavisada sobre a atividade maliciosa.
Em um dos casos analisados pela Microsoft, mais de 600 e-mails de phishing foram enviados para contatos do usuário comprometido, tanto internos quanto externos à organização.
Os invasores também deletam e-mails não entregues e respostas automáticas de ausência, além de interagir com destinatários para assegurar a autenticidade das mensagens falsas antes de apagar as correspondências da caixa do usuário.
Essas táticas, comuns em ataques BEC, ajudam a manter o controle da conta sem alertar a vítima.
A Microsoft destaca que simples trocas de senha não são suficientes para mitigar o ataque.
É fundamental revogar cookies de sessão ativos e eliminar regras maliciosas criadas na caixa de entrada.
A empresa tem colaborado com clientes para reverter alterações nas configurações de multi-factor authentication (MFA) feitas pelos invasores e apagar regras suspeitas.
Ainda não há informações sobre o número de organizações afetadas nem sobre o envolvimento de grupos cibercriminosos conhecidos.
Para reduzir riscos semelhantes, as organizações devem trabalhar com seus provedores de identidade para implementar políticas robustas, como MFA resistente a phishing, acesso condicional, avaliação contínua de acesso e soluções anti-phishing que monitorem e analisem e-mails e páginas visitadas.
Esse ataque reforça a tendência de abusar de serviços confiáveis, como Google Drive, Amazon Web Services (AWS) e a wiki Confluence da Atlassian, para redirecionar vítimas a sites que coletam credenciais ou distribuem malware.
Isso torna as ações maliciosas mais difíceis de detectar e dispensa que os invasores criem suas próprias infraestruturas.
Além disso, a empresa de serviços de identidade Okta revelou kits personalizados de phishing voltados para campanhas de voice phishing (vishing).
Nelas, agentes fingem ser suporte técnico e ligam para as vítimas usando números falsificados para convencê-las a acessar URLs maliciosos e fornecer suas credenciais.
Os dados são transmitidos em tempo real a um canal no Telegram, permitindo que os criminosos tenham acesso imediato às contas furtadas.
Os kits, oferecidos como serviço, incluem scripts que permitem aos invasores controlar o fluxo de autenticação no navegador da vítima durante a ligação, orientando-a a aprovar notificações push ou inserir códigos de autenticação únicos, driblando mecanismos de MFA não resistentes a phishing.
Recentemente, campanhas de phishing vêm explorando URLs com autenticação básica embutida no formato “usuário:senha@domínio[.]com”, onde o domínio real é mascarado para enganar visualmente o destinatário, aproveitando o comportamento dos navegadores, que interpretam tudo antes do “@” como credenciais de acesso, não como parte do endereço.
Outra técnica frequente é o ataque homoglyph, que utiliza substituições visuais para disfarçar domínios maliciosos, como trocar a letra “m” por “rn” em marcas conhecidas — exemplos incluem “rnicrosoft[.]com” e “rnastercard[.]de”.
Essas sutilezas exploram a leitura rápida dos usuários, tornando a falsificação mais convincente em palavras comuns como “email”, “member” e “confirmation”.
Esses novos métodos e a complexidade dos ataques ressaltam a necessidade de monitoramento constante, educação dos usuários e adoção de controles avançados para proteger as organizações contra ameaças cada vez mais sofisticadas.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...