Um threat actor vem mirando organizações de vários setores com falsas solicitações de segurança por voz, pedindo que usuários do Microsoft 365 cadastrem uma nova passkey do Entra.
O atacante está explorando um recurso que a Microsoft liberou para administradores em maio, permitindo executar campanhas de “registro de passkeys” para incentivar usuários a adotar esse método de autenticação mais seguro.
A campanha está ativa desde abril e consiste em ligar para usuários-alvo e tentar convencê-los a registrar uma nova passkey sob o controle do atacante.
Para disfarçar a fraude, o hacker direciona as vítimas para um kit de phishing que imita o processo legítimo de cadastro de passkeys da Microsoft.
A empresa de gerenciamento de identidade e acesso na cloud Okta atribui a atividade a um ator acompanhado como O-UNC-066, ligado a uma operação de extorsão conhecida como Pink.
Segundo a Okta, o O-UNC-066 tem como alvo usuários de organizações dos setores de alimentos e bebidas, tecnologia, saúde, automotivo, construção e aviação.
Durante a campanha, funcionários selecionados recebem ligações telefônicas com o pretexto de que precisam cadastrar uma nova passkey do Microsoft Entra por motivos de segurança e são direcionados para URLs de phishing que contêm a palavra “passkey” no nome de domínio.
Os sites maliciosos usam a identidade visual da organização da vítima e reproduzem o portal real de cadastro de passkeys do Entra.
Diferentemente do proxy adversário-no-meio, ou AiTM, mais comum, o kit é um painel PHP controlado pelo operador, no qual o atacante conduz a vítima pelo processo de phishing em tempo quase real, ajustando o fluxo de acordo com o método de autenticação multifator, ou MFA, utilizado.
Segundo a Okta, o kit de phishing é um painel PHP controlado pelo operador, no qual um threat actor conduz as vítimas por várias etapas de autenticação em quase tempo real, usando um mecanismo de sondagem de pulsação de 1 segundo.
O operador pode usar o kit para adaptar a experiência do usuário aos requisitos de MFA de cada vítima, como TOTP, notificação push com correspondência de números e OTP por SMS, durante a sessão.
As credenciais e as respostas de MFA inseridas pela vítima nas telas do kit são repassadas ao operador, que as usa para autenticar-se na conta Microsoft da vítima.
Enquanto a vítima acredita estar registrando uma nova passkey em sua conta, o atacante, na prática, está cadastrando uma passkey sob seu controle.
Depois de obter acesso, o site de phishing exibe à vítima páginas falsas de cadastro de passkeys com a marca Microsoft, pedindo que ela salve uma frase de recuperação BIP-39 falsa e confirme uma palavra dessa frase.
A Okta observa que frases-semente BIP-39 não têm qualquer papel no cadastro legítimo de passkeys do Microsoft Entra, mas podem servir como distração para usuários que não conhecem bem o processo.
Segundo a Palo Alto Networks Unit 42, a Pink é uma nova marca de extorsão associada à rede descentralizada de threat actors conhecida como The Com, abreviação de The Community.
O grupo é conhecido por usar vishing, ou phishing por voz, e por se passar por profissionais de TI para coletar credenciais e códigos de MFA, usados em ataques para roubar dados corporativos.
O grupo Pink lançou um site de extorsão em 31 de maio, onde publica amostras de dados roubados para pressionar as vítimas comprometidas a pagar resgate.
Pesquisadores afirmam que, depois de acessar a conta da vítima, a Pink age rapidamente para exfiltrar dados dos serviços SharePoint e OneDrive.
Brad Duncan, principal pesquisador de ameaças da Palo Alto Networks Unit 42, observou no início de junho que alguns dos domínios de phishing usados pela Pink incluíam a palavra “passkey”.
A Okta recomenda que as organizações criem métodos melhores para verificar a identidade de equipes de suporte técnico ao entrar em contato com usuários e também neguem solicitações vindas de localidades onde a empresa não oferece serviços.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...