Um agente de ameaça desconhecido foi associado a uma grande campanha de golpe que explorou uma configuração incorreta de roteamento de e-mail nas defesas do fornecedor de segurança de e-mail Proofpoint para enviar milhões de mensagens falsificando várias empresas populares como Finest Purchase, IBM, Nike e Walt Disney, entre outras.
“Esses e-mails ecoaram de retransmissores oficiais de e-mail da Proofpoint com assinaturas SPF e DKIM autenticadas, ignorando assim as principais proteções de segurança — tudo para enganar os destinatários e roubar fundos e detalhes de cartão de crédito”, disse a pesquisadora do Guardio Labs, Nati Tal, em um relatório detalhado compartilhado com o The Hacker Information.
A empresa de segurança cibernética deu à campanha o nome EcoSpoofing. Acredita-se que a atividade tenha começado em janeiro de 2024, com o agente da ameaça explorando a brecha para enviar até três milhões de e-mails por dia em média, um número que atingiu um pico de 14 milhões no início de junho, quando a Proofpoint começou a implementar contramedidas.
“A parte mais exclusiva e poderosa desse domínio é o método de falsificação, o que não deixa quase nenhuma likelihood de perceber que esse não é um e-mail genuíno enviado por essas empresas”, disse Tal à publicação.
“Este conceito de EchoSpoofing é realmente poderoso. É meio estranho que ele esteja sendo usado para phishing em larga escala como este em vez de uma campanha de spear-phishing boutique – onde um invasor pode rapidamente pegar a identidade de qualquer membro actual da equipe da empresa e enviar e-mails para outros colegas de trabalho – eventualmente, por meio de engenharia social de alta qualidade, obter acesso a dados internos ou credenciais e até mesmo comprometer toda a empresa.
A técnica, que envolve o agente da ameaça enviando mensagens de um servidor SMTP para um servidor digital privado (VPS), é notável pelo fato de estar em conformidade com medidas de autenticação e segurança, como SPF e DKIM, que são abreviações de Sender Coverage Framework e DomainKeys Recognized Mail, respectivamente, e se referem a métodos de autenticação projetados para impedir que invasores imitem um domínio legítimo.
Tudo se resume ao fato de que essas mensagens são roteadas de vários locatários do Microsoft 365 controlados por adversários e, em seguida, retransmitidas por meio das infraestruturas de e-mail dos clientes empresariais da Proofpoint para alcançar usuários de provedores de e-mail gratuitos, como Yahoo!, Gmail e GMX.
Este é o resultado do que Guardio descreveu como uma “falha de configuração incorreta superpermissiva” nos servidores Proofpoint (“pphosted.com”) que essencialmente permitiu que spammers aproveitassem a infraestrutura de e-mail para enviar mensagens.
“A causa raiz é um recurso de configuração de roteamento de e-mail modificável nos servidores Proofpoint para permitir a retransmissão de mensagens de saída das organizações de locatários do Microsoft 365, mas sem especificar quais locatários do M365 permitir”, disse a Proofpoint em um relatório de divulgação coordenada compartilhado com o The Hacker Information.
“Qualquer infraestrutura de e-mail que ofereça esse recurso de configuração de roteamento de e-mail pode ser abusada por spammers.”
Em outras palavras, um invasor pode usar a falha como arma para configurar inquilinos desonestos do Microsoft 365 e entregar mensagens de e-mail falsas aos servidores de retransmissão da Proofpoint, de onde elas são “ecoadas de volta” como mensagens digitais genuínas que se passam pelos domínios dos clientes.
Isso, por sua vez, é realizado configurando o conector de e-mail de saída do Alternate Server diretamente para o ponto de extremidade vulnerável “pphosted.com” associado ao cliente. Além disso, uma versão crackeada de um software program legítimo de entrega de e-mail chamado PowerMTA é usada para enviar as mensagens.
“O spammer usou uma série rotativa de servidores virtuais privados (VPS) alugados de vários provedores, usando muitos endereços IP diferentes para iniciar rajadas rápidas de milhares de mensagens de uma vez de seus servidores SMTP, enviadas ao Microsoft 365 para serem retransmitidas aos servidores de clientes hospedados pela Proofpoint”, disse a Proofpoint.
“O Microsoft 365 aceitou essas mensagens falsificadas e as enviou para as infraestruturas de e-mail desses clientes para serem retransmitidas. Quando os domínios dos clientes foram falsificados durante a retransmissão pela infraestrutura de e-mail do cliente correspondente, a assinatura DKIM também foi aplicada conforme as mensagens transitavam pela infraestrutura Proofpoint, tornando as mensagens de spam mais entregáveis.”
Há suspeitas de que o EchoSpoofing foi escolhido intencionalmente pelos operadores como uma forma de gerar receita ilegal, bem como evitar o risco de exposição por longos períodos de tempo, já que mirar diretamente nas empresas por meio desse modus operandi poderia ter aumentado drasticamente as probabilities de serem detectados, colocando efetivamente todo o esquema em risco.
Dito isso, atualmente não está claro quem está por trás da campanha. A Proofpoint disse que a atividade não se sobrepõe a nenhum ator ou grupo de ameaça conhecido.
“Em março, pesquisadores da Proofpoint identificaram campanhas de spam sendo retransmitidas por meio de um pequeno número de infraestrutura de e-mail de clientes da Proofpoint enviando spam de locatários do Microsoft 365”, disse em uma declaração. “Todas as análises indicam que essa atividade foi conduzida por um agente de spam, cuja atividade não atribuímos a uma entidade conhecida.”
“Desde que descobrimos essa campanha de spam, trabalhamos diligentemente para fornecer instruções corretivas, incluindo a implementação de uma interface administrativa simplificada para que os clientes especifiquem quais locatários do M365 têm permissão para retransmitir, com todos os outros locatários do M365 negados por padrão.”
A Proofpoint enfatizou que nenhum dado de cliente foi exposto, nem nenhum deles sofreu perda de dados, como resultado dessas campanhas. Ela ainda observou que entrou em contato com alguns de seus clientes diretamente para alterar suas configurações para interromper a eficácia da atividade de spam de retransmissão de saída.
“À medida que começamos a bloquear a atividade do spammer, ele acelerou seus testes e passou rapidamente para outros clientes”, destacou a empresa. “Estabelecemos um processo contínuo de identificação dos clientes afetados a cada dia, repriorizando o alcance para corrigir as configurações.”
Para reduzir o spam, ele está pedindo aos provedores de VPS que limitem a capacidade de seus usuários de enviar grandes volumes de mensagens de servidores SMTP hospedados em sua infraestrutura. Ele também está pedindo aos provedores de serviços de e-mail que restrinjam as capacidades de teste gratuito e de inquilinos não verificados recém-criados para enviar mensagens de e-mail de saída em massa, bem como impedi-los de enviar mensagens que falsifiquem um domínio do qual eles não têm propriedade comprovada.
“Para os CISOs, a principal lição aqui é tomar cuidado additional com a postura de nuvem de sua organização – especificamente com o uso de serviços de terceiros que se tornam a espinha dorsal dos métodos de comunicação e rede da sua empresa”, disse Tal. “Especificamente no reino dos e-mails, sempre mantenha um loop de suggestions e controle próprio – mesmo se você confiar totalmente em seu provedor de e-mail.”
“E quanto a outras empresas que fornecem esse tipo de serviço de spine – assim como a Proofpoint fez, elas devem ser vigilantes e proativas ao pensar em todos os tipos possíveis de ameaças em primeiro lugar. Não apenas ameaças que afetam diretamente seus clientes, mas também o público em geral.
“Isso é essential para a segurança de todos nós e as empresas que criam e operam a espinha dorsal da web, mesmo que sejam privadas, têm a maior responsabilidade sobre ela. Assim como alguém disse, em um contexto completamente diferente, mas tão relevante aqui: 'Com grandes poderes, vêm grandes responsabilidades.'”
