Ferramenta especial de phishing rompe a proteção MFA para contas

27. agosto 2023
| Sem comentários
Ferramenta especial de phishing quebra a proteção MFA para contas - imagem de Franz Bachinger da Pixabay

Compartilhar postagem

Os cibercriminosos estão usando cada vez mais a autenticação multifator (MFA) para sequestrar contas de executivos. Foi isso que os especialistas em segurança de TI da Proofpoint descobriram. Eles observaram um aumento de mais de 100% nos últimos seis meses em incidentes em que os cibercriminosos conseguiram obter acesso às contas na nuvem de executivos de alto nível em grandes empresas.

Mais de 100 empresas em todo o mundo, com um total de mais de 1,5 milhões de funcionários, são afetadas. Os criminosos usaram EvilProxy para seus ataques. Esta é uma ferramenta de phishing com uma arquitetura de proxy reverso que permite que invasores roubem credenciais protegidas por MFA e cookies de sessão.

Os invasores ignoram a proteção MFA

🔎 Proxy reverso transparente AitM: é assim que os invasores contornam a proteção MFA: o link de phishing leva a uma página de login falsa na qual um usuário transmite o código MFA correto (Imagem: Proofpoint)

Os especialistas da Proofpoint avaliam esses novos ataques: “As credenciais dos funcionários são muito procuradas pelos cibercriminosos: elas podem fornecer acesso a informações valiosas ou confidenciais da empresa e a contas de usuários. Embora as credenciais geralmente ofereçam uma variedade de vetores de ataque, nem todas as credenciais são igualmente valiosas. A investigação mostra que os criminosos muitas vezes visam funções ou departamentos específicos. Ao fazê-lo, têm de desenvolver constantemente os seus métodos e técnicas, por exemplo, para anular a autenticação multifator.

Ao contrário da crença popular, a MFA não é uma panaceia contra ataques sofisticados baseados na nuvem. Uma vez lá dentro, atores mal-intencionados podem se esconder em uma organização sem serem detectados e lançar ataques sofisticados à vontade. Os kits de phishing de desvio de MFA prontos para uso agora são onipresentes, permitindo que até mesmo criminosos não técnicos lancem uma campanha de phishing e induzam os funcionários a desistir de suas credenciais de conta.”

Abuso de proxy reverso

O uso crescente de MFA levou à proliferação de kits e ferramentas de phishing que ajudam a contornar essa camada de segurança. Os cibercriminosos estão usando cada vez mais kits de phishing Adversary-in-the-Middle (AitM), como o EvilProxy, para roubar credenciais e cookies de sessão em tempo real.

A eficácia do EvilProxy como ferramenta de phishing é bem conhecida. No entanto, os especialistas da Proofpoint identificaram uma lacuna preocupante na conscientização dos líderes de segurança de TI sobre os riscos e possíveis consequências, como o Business Email Compromise (BEC) e o Account Takeover (ATO).

Fase 1: Phishing com EvilProxy

🔎 A cadeia de ataque em todas as etapas individuais (Imagem: Proofpoint).

Desde o início de março, os especialistas da Proofpoint monitoram uma campanha usando EvilProxy para atacar milhares de contas de usuários do Microsoft 365. O volume total desta campanha é impressionante: entre março e junho de 2023, aproximadamente 120.000 e-mails de phishing foram enviados para centenas de organizações-alvo em todo o mundo.

Na fase de phishing dos seus ataques, os criminosos utilizaram três técnicas principais:

  • Representação de marca: os remetentes personificam serviços e aplicativos confiáveis, por ex. B. Soluções Concur, DocuSign e Adobe.
  • Bloqueio de verificação: os invasores usaram proteção contra bots de verificação de segurança cibernética para dificultar a análise de seus sites maliciosos pelas soluções de segurança.
  • Cadeia de infecção em vários estágios: os invasores redirecionam o tráfego por meio de redirecionamentos legítimos de acesso aberto.

Para ocultar seus e-mails das ferramentas de verificação automática, os invasores usam codificação de e-mail especial e sites legítimos que foram hackeados para carregar seu código PHP e descriptografar o endereço de e-mail de um usuário específico.

Etapa 2: comprometimento da conta

A lista de usuários-alvo inclui muitos alvos de alto nível, por ex. B. Diretores administrativos, diretores corporativos, executivos de nível C e vice-presidentes em empresas líderes. Esses indivíduos são particularmente valorizados pelos criminosos porque potencialmente têm acesso a dados e ativos confidenciais. Das centenas de usuários comprometidos, aproximadamente 39% eram funcionários da alta administração (“nível C”), incluindo 17% CFOs e 9% presidentes e CEOs. Os invasores também demonstram interesse na gestão de nível inferior, concentrando seus esforços nos funcionários com acesso a ativos ou informações confidenciais.

Fase 3: Abuso após compromisso

Depois que os invasores obtêm acesso à conta da vítima, eles se estabelecem no ambiente de nuvem da vítima. Em várias ocasiões, os invasores usaram um aplicativo nativo do Microsoft 365 para realizar manipulações de MFA. Usando “Meus logins”, os invasores conseguiram adicionar seu próprio método de autenticação multifatorial, fornecendo acesso persistente a contas de usuários comprometidas. Eles preferem o método por meio de um aplicativo de autenticação com mensagem e código.

Mais em Proofpoint.com

 

Sobre o Proofpoint

A Proofpoint, Inc. é uma empresa líder em cibersegurança. O foco da Proofpoint é a proteção dos funcionários. Porque estes representam o maior capital para uma empresa, mas também o maior risco. Com um conjunto integrado de soluções de segurança cibernética baseadas em nuvem, a Proofpoint ajuda organizações em todo o mundo a interromper ameaças direcionadas, proteger seus dados e educar os usuários corporativos de TI sobre os riscos de ataques cibernéticos.

 

Artigos relacionados ao tema

Plataforma de cibersegurança com proteção para ambientes 5G

A especialista em segurança cibernética Trend Micro revela sua abordagem baseada em plataforma para proteger a superfície de ataque em constante expansão das organizações, incluindo segurança ➡ Leia mais

Manipulação de dados, o perigo subestimado

Todos os anos, o Dia Mundial do Backup, em 31 de março, serve como um lembrete da importância de backups atualizados e de fácil acesso. ➡ Leia mais

Impressoras como um risco à segurança

As frotas de impressoras empresariais estão a tornar-se cada vez mais num ponto cego e representam enormes problemas para a sua eficiência e segurança. ➡ Leia mais

A Lei AI e suas consequências para a proteção de dados

Com o AI Act, a primeira lei para IA foi aprovada e dá aos fabricantes de aplicações de IA entre seis meses e ➡ Leia mais

Sistemas operacionais Windows: Quase dois milhões de computadores em risco

Não há mais atualizações para os sistemas operacionais Windows 7 e 8. Isto significa lacunas de segurança abertas e, portanto, valiosas e ➡ Leia mais

AI no Enterprise Storage combate ransomware em tempo real

A NetApp é uma das primeiras a integrar inteligência artificial (IA) e aprendizado de máquina (ML) diretamente no armazenamento primário para combater ransomware ➡ Leia mais

Conjunto de produtos DSPM para Zero Trust Data Security

O gerenciamento da postura de segurança de dados – abreviadamente DSPM – é crucial para que as empresas garantam a resiliência cibernética contra a multidão ➡ Leia mais

Criptografia de dados: Mais segurança em plataformas em nuvem

As plataformas online são frequentemente alvo de ataques cibernéticos, como o Trello recentemente. 5 dicas para garantir criptografia de dados mais eficaz na nuvem ➡ Leia mais

mensagens de relações públicas
, , , , , ,