Uma campanha de phishing em andamento está explorando um recurso pouco conhecido no Microsoft 365 chamado "Direct Send" para evitar a detecção por sistemas de segurança de e-mail e roubar credenciais.
Direct Send é um recurso do Microsoft 365 que permite que dispositivos no local, aplicativos ou serviços na nuvem enviem e-mails através do smart host de um locatário como se tivessem origem no domínio da organização.
Ele é projetado para uso por impressoras, scanners e outros dispositivos que precisam enviar mensagens em nome da empresa.
No entanto, o recurso é um risco de segurança conhecido, pois não exige autenticação, permitindo que usuários remotos enviem e-mails internos como se fossem do domínio da empresa.
A Microsoft recomenda que apenas clientes avançados utilizem o recurso, pois sua segurança depende de o Microsoft 365 estar configurado corretamente e o smart host estar devidamente protegido.
"Recomendamos o Direct Send apenas para clientes avançados dispostos a assumir as responsabilidades de administradores de servidores de e-mail", explica a Microsoft.
Você precisa estar familiarizado com a configuração e seguir as melhores práticas para enviar e-mails pela internet.
Quando configurado e gerenciado corretamente, o Direct Send é uma opção segura e viável.
Mas os clientes correm o risco de má configuração que interrompe o fluxo de e-mails ou ameaça a segurança de sua comunicação.
A empresa compartilhou maneiras de desativar o recurso, explicadas mais adiante no artigo, e diz que está trabalhando em um modo de depreciar o recurso.
A campanha de phishing foi descoberta pela equipe de Varonis Managed Data Detection and Response (MDDR), que informou que está mirando em mais de 70 organizações em todos os setores, com 95% das vítimas baseadas nos Estados Unidos.
Varonis diz que a campanha começou em maio de 2025, com mais de 95% das empresas alvo baseadas nos Estados Unidos.
"As vítimas ocupam uma grande variedade de verticais de negócios, mas mais de 90% dos alvos identificados operam dentro dos espaços de Serviços Financeiros, Construção, Engenharia, Manufatura, Saúde e Seguros", Joseph Avanzato, líder do grupo de Operações de Segurança e Forense, informou ao site BleepingComputer.
Serviços Financeiros foram o alvo mais comum seguido por Manufatura, Construção/Engenharia e Saúde/Seguros.
O relatório da Varonis explica que os ataques são entregues via PowerShell usando o smart host da empresa alvo (company-com.mail.protection.outlook.com), permitindo assim que um atacante envie mensagens internas a partir de endereços IP externos.
Um exemplo de comando PowerShell que pode enviar e-mails via o recurso Direct Send é:
Este método funciona porque usar o Direct Send com o smart host não exige autenticação e trata o remetente como interno, permitindo que os atores de ameaças contornem regras de SPF, DKIM, DMARC e outros filtros.
As campanhas de e-mails se passam por notificações de correio de voz ou fax com assuntos de e-mails como "Caller Left VM Message".
Anexados aos e-mails estão anexos em PDF intitulados 'Fax-msg', 'Caller left VM Message', 'Play_VM-Now' ou 'Listen'.
O que é incomum sobre a campanha é que os anexos em PDF não contêm links para as páginas de phishing.
Em vez disso, os documentos instruem os alvos a escanear um código QR com a câmera do smartphone para ouvir o correio de voz.
Os documentos em PDF também são marcados com o logo da empresa para parecerem mais legítimos.
Escanear o código QR e abrir o link leva a um site de phishing que exibe um formulário falso de login da Microsoft, que será usado para roubar as credenciais do funcionário.
Em um caso visto pela Varonis, onde uma empresa recebeu alertas de comportamento anormal, os atores de ameaças usaram o PowerShell para enviar e-mails através do smart host de um endereço IP ucraniano 139.28.36[.]230 e outros na mesma faixa.
Essas mensagens falharam nas verificações de SPF e DMARC, mas foram tratadas como tráfego interno confiável porque vieram através do smart host interno.
Em outro e-mail desta campanha parecia vir de um endereço de e-mail interno e foi entregue via smart host da organização, apesar de também falhar nas verificações de SPF, DKIM e DMARC.
Este e-mail originou-se do endereço IP 51.89.86[.]105.
Varonis compartilhou mais indicadores de comprometimento (IOCs) em seu relatório, incluindo domínios usados na campanha.
Para mitigar essa ameaça, a Varonis recomenda habilitar a configuração "Reject Direct Send" no Centro de Administração do Exchange, que a Microsoft introduziu em abril de 2025.
A Microsoft introduziu esse recurso, pois geralmente sugere que as empresas habilitem a configuração de falha suave do SPF para evitar potenciais erros de roteamento.
No entanto, isso tornou impossível bloquear e-mails enviados via Direct Send.
"Embora o SPF forneça proteção contra a falsificação de seus domínios, recomendamos que os clientes usem uma configuração de falha suave do SPF devido à possibilidade de cenários de roteamento válidos caírem em falhas do SPF", explica a Microsoft.
Como tal, não existia um recurso para bloquear o tráfego Direct Send para os muitos clientes que não precisam usá-lo.
Para este fim, desenvolvemos a configuração Reject Direct Send para o Exchange Online e estamos anunciando a Prévia Pública para este recurso hoje.
A Varonis também recomenda implementar uma política DMARC estrita (p=reject), marcando mensagens internas não autenticadas para revisão ou quarentena, forçando a falha dura do SPF dentro do Exchange Online Protection, habilitando políticas Anti-Spoofing e treinando funcionários para identificar tentativas de phishing via QR code.
"Direct Send é um recurso poderoso, mas nas mãos erradas, torna-se um vetor de ataque perigoso", conclui a Varonis.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...