O provedor de serviços de Identity and Access Management (IAM) Okta alertou para um aumento na "frequência e escala" de ataques de credential stuffing direcionados a serviços online.
Esses ataques sem precedentes, observados no último mês, são facilitados pela "ampla disponibilidade de serviços de proxy residencial, listas de credenciais previamente roubadas ('combo lists') e ferramentas de script", disse a empresa em um alerta publicado no sábado.
As descobertas se baseiam em um aviso recente da Cisco, que alertou para um aumento global em ataques de brute-force visando vários dispositivos, incluindo serviços de Virtual Private Network (VPN), interfaces de autenticação de aplicações web e serviços SSH, desde pelo menos 18 de março de 2024.
"Todos esses ataques parecem estar originados de nós de saída TOR e uma variedade de outros túneis e proxies anonimizadores," Talos observou na época, acrescentando que os alvos dos ataques compreendem appliances VPN da Cisco, Check Point, Fortinet, SonicWall, bem como roteadores da Draytek, MikroTik e Ubiquiti.
A Okta disse que sua equipe de Identity Threat Research detectou um aumento na atividade de credential stuffing contra contas de usuários de 19 a 26 de abril de 2024, a partir de infraestruturas provavelmente semelhantes.
Credential stuffing é um tipo de ataque cibernético no qual credenciais obtidas de uma violação de dados em um serviço são usadas para tentar entrar em outro serviço não relacionado.
Alternativamente, tais credenciais podem ser extraídas via ataques de phishing que redirecionam vítimas para páginas de coleta de credenciais ou através de campanhas de malware que instalam ladrões de informações em sistemas comprometidos.
"Todos os ataques recentes que observamos têm uma característica em comum: eles dependem de solicitações sendo roteadas através de serviços de anonimização como o TOR," disse a Okta.
"Milhões das solicitações também foram roteadas através de uma variedade de proxies residenciais incluindo NSOCKS, Luminati e DataImpulse." Proxies residenciais (RESIPs) referem-se a redes de dispositivos de usuários legítimos que são utilizadas indevidamente para rotear tráfego em nome de assinantes pagantes sem o seu conhecimento ou consentimento, permitindo assim que os atores de ameaças ocultem seu tráfego malicioso.
Isso é geralmente conseguido instalando ferramentas de proxyware em computadores, telefones móveis ou roteadores, efetivamente inscrevendo-os em uma botnet que é então alugada para clientes do serviço que desejam anonimizar a fonte de seu tráfego.
"Às vezes, um dispositivo de usuário é inscrito em uma rede proxy porque o usuário conscientemente escolhe baixar 'proxyware' em seu dispositivo em troca de pagamento ou algo de valor," explicou a Okta.
"Em outras vezes, um dispositivo de usuário é infectado com malware sem o conhecimento do usuário e se torna inscrito no que normalmente descreveríamos como uma botnet."
No mês passado, a equipe de Satori Threat Intelligence da HUMAN revelou mais de duas dúzias de aplicativos VPN maliciosos para Android que transformam dispositivos móveis em RESIPs por meio de um kit de desenvolvimento de software (SDK) embutido que incluía a funcionalidade de proxyware.
"A soma total dessa atividade é que a maior parte do tráfego nesses ataques de credential stuffing parece originar-se dos dispositivos móveis e navegadores de usuários comuns, em vez do espaço IP de provedores de VPS," disse a Okta.
Para mitigar o risco de tomadas de conta, a empresa está recomendando que as organizações imponham aos usuários a mudança para senhas fortes, habilitem a autenticação de dois fatores (2FA), neguem solicitações originadas de locais onde não operam e de endereços IP com má reputação, e adicionem suporte para passkeys.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...