Um grupo de ameaças com motivação financeira, identificado como Storm-2755, está desviando pagamentos de salários de funcionários canadenses após invadir contas em ataques conhecidos como payroll pirate.
Os criminosos usaram páginas maliciosas de login do Microsoft 365 para roubar tokens de autenticação e cookies de sessão das vítimas.
Para isso, redirecionavam os usuários para domínios como bluegraintours[.]com, que hospedavam páginas maliciosas promovidas no topo dos resultados de busca por meio de malvertising ou SEO poisoning e que imitavam formulários legítimos de login do Microsoft 365.
Com isso, o Storm-2755 conseguiu contornar a multifactor authentication (MFA) em ataques de adversary-in-the-middle (AiTM), reutilizando tokens de sessão roubados em vez de solicitar nova autenticação.
“Em vez de coletar apenas nomes de usuário e senhas, frameworks de AiTM fazem proxy de todo o fluxo de autenticação em tempo real, permitindo a captura de cookies de sessão e OAuth access tokens emitidos após uma autenticação bem-sucedida”, explicou a Microsoft.
“Como esses tokens representam uma sessão totalmente autenticada, os agentes maliciosos podem reutilizá-los para acessar serviços da Microsoft sem serem solicitados a informar credenciais ou MFA, contornando, na prática, proteções legadas de MFA que não foram projetadas para resistir a phishing.”
Depois de acessar a conta de um funcionário, o invasor criou inbox rules que moviam automaticamente para pastas ocultas mensagens de profissionais de recursos humanos que continham as palavras “direct deposit” ou “bank”, impedindo a vítima de ver a comunicação.
Na etapa seguinte, os criminosos pesquisaram termos como “payroll”, “HR”, “direct deposit” e “finance” e enviaram e-mails à equipe de recursos humanos com o assunto “Question about direct deposit” para induzir os funcionários a atualizar informações bancárias.
Quando a engenharia social não funcionava, o atacante fazia login diretamente em plataformas de RH, como o Workday, usando a sessão roubada para alterar manualmente os dados de depósito em conta.
Para reforçar as defesas contra ataques AiTM e payroll pirate, a Microsoft recomenda bloquear protocolos de autenticação legados e implementar MFA resistente a phishing.
Se houver qualquer sinal de comprometimento, também é importante revogar imediatamente tokens e sessões comprometidas, remover regras maliciosas da caixa de entrada e redefinir métodos de MFA e credenciais de todas as contas afetadas.
Em outubro, a Microsoft interrompeu outra campanha de payroll pirate direcionada a contas do Workday desde março de 2025, na qual um grupo de cibercrime identificado como Storm-2657 mirou funcionários de universidades nos Estados Unidos para sequestrar seus salários.
Nesses ataques, o Storm-2657 invadiu contas das vítimas por meio de e-mails de phishing e roubou códigos de MFA usando táticas de AiTM, o que permitiu aos criminosos comprometer as contas do Exchange Online das vítimas.
Ataques de payroll pirate são uma variante de esquemas de business email compromise (BEC) que têm como alvo empresas e pessoas que fazem transferências bancárias com frequência.
No ano passado, o Internet Crime Complaint Center (IC3) do FBI registrou mais de 24.000 denúncias de fraude BEC, com perdas superiores a US$ 3 bilhões, tornando essa a segunda modalidade de crime mais lucrativa, atrás apenas dos golpes de investimento.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...