Os cibercriminosos estão usando cada vez mais a autenticação multifator (MFA) para sequestrar contas de executivos. Foi isso que os especialistas em segurança de TI da Proofpoint descobriram. Eles observaram um aumento de mais de 100% nos últimos seis meses em incidentes em que os cibercriminosos conseguiram obter acesso às contas na nuvem de executivos de alto nível em grandes empresas.
Mais de 100 empresas em todo o mundo, com um total de mais de 1,5 milhões de funcionários, são afetadas. Os criminosos usaram EvilProxy para seus ataques. Esta é uma ferramenta de phishing com uma arquitetura de proxy reverso que permite que invasores roubem credenciais protegidas por MFA e cookies de sessão.
Os invasores ignoram a proteção MFA
Os especialistas da Proofpoint avaliam esses novos ataques: “As credenciais dos funcionários são muito procuradas pelos cibercriminosos: elas podem fornecer acesso a informações valiosas ou confidenciais da empresa e a contas de usuários. Embora as credenciais geralmente ofereçam uma variedade de vetores de ataque, nem todas as credenciais são igualmente valiosas. A investigação mostra que os criminosos muitas vezes visam funções ou departamentos específicos. Ao fazê-lo, têm de desenvolver constantemente os seus métodos e técnicas, por exemplo, para anular a autenticação multifator.
Ao contrário da crença popular, a MFA não é uma panaceia contra ataques sofisticados baseados na nuvem. Uma vez lá dentro, atores mal-intencionados podem se esconder em uma organização sem serem detectados e lançar ataques sofisticados à vontade. Os kits de phishing de desvio de MFA prontos para uso agora são onipresentes, permitindo que até mesmo criminosos não técnicos lancem uma campanha de phishing e induzam os funcionários a desistir de suas credenciais de conta.”
Abuso de proxy reverso
O uso crescente de MFA levou à proliferação de kits e ferramentas de phishing que ajudam a contornar essa camada de segurança. Os cibercriminosos estão usando cada vez mais kits de phishing Adversary-in-the-Middle (AitM), como o EvilProxy, para roubar credenciais e cookies de sessão em tempo real.
A eficácia do EvilProxy como ferramenta de phishing é bem conhecida. No entanto, os especialistas da Proofpoint identificaram uma lacuna preocupante na conscientização dos líderes de segurança de TI sobre os riscos e possíveis consequências, como o Business Email Compromise (BEC) e o Account Takeover (ATO).
Fase 1: Phishing com EvilProxy
Desde o início de março, os especialistas da Proofpoint monitoram uma campanha usando EvilProxy para atacar milhares de contas de usuários do Microsoft 365. O volume total desta campanha é impressionante: entre março e junho de 2023, aproximadamente 120.000 e-mails de phishing foram enviados para centenas de organizações-alvo em todo o mundo.
Na fase de phishing dos seus ataques, os criminosos utilizaram três técnicas principais:
- Representação de marca: os remetentes personificam serviços e aplicativos confiáveis, por ex. B. Soluções Concur, DocuSign e Adobe.
- Bloqueio de verificação: os invasores usaram proteção contra bots de verificação de segurança cibernética para dificultar a análise de seus sites maliciosos pelas soluções de segurança.
- Cadeia de infecção em vários estágios: os invasores redirecionam o tráfego por meio de redirecionamentos legítimos de acesso aberto.
Para ocultar seus e-mails das ferramentas de verificação automática, os invasores usam codificação de e-mail especial e sites legítimos que foram hackeados para carregar seu código PHP e descriptografar o endereço de e-mail de um usuário específico.
Etapa 2: comprometimento da conta
A lista de usuários-alvo inclui muitos alvos de alto nível, por ex. B. Diretores administrativos, diretores corporativos, executivos de nível C e vice-presidentes em empresas líderes. Esses indivíduos são particularmente valorizados pelos criminosos porque potencialmente têm acesso a dados e ativos confidenciais. Das centenas de usuários comprometidos, aproximadamente 39% eram funcionários da alta administração (“nível C”), incluindo 17% CFOs e 9% presidentes e CEOs. Os invasores também demonstram interesse na gestão de nível inferior, concentrando seus esforços nos funcionários com acesso a ativos ou informações confidenciais.
Fase 3: Abuso após compromisso
Depois que os invasores obtêm acesso à conta da vítima, eles se estabelecem no ambiente de nuvem da vítima. Em várias ocasiões, os invasores usaram um aplicativo nativo do Microsoft 365 para realizar manipulações de MFA. Usando “Meus logins”, os invasores conseguiram adicionar seu próprio método de autenticação multifatorial, fornecendo acesso persistente a contas de usuários comprometidas. Eles preferem o método por meio de um aplicativo de autenticação com mensagem e código.
Mais em Proofpoint.com
Sobre o Proofpoint A Proofpoint, Inc. é uma empresa líder em cibersegurança. O foco da Proofpoint é a proteção dos funcionários. Porque estes representam o maior capital para uma empresa, mas também o maior risco. Com um conjunto integrado de soluções de segurança cibernética baseadas em nuvem, a Proofpoint ajuda organizações em todo o mundo a interromper ameaças direcionadas, proteger seus dados e educar os usuários corporativos de TI sobre os riscos de ataques cibernéticos.