A Microsoft está alertando sobre campanhas de ataques cibernéticos que abusam de serviços legítimos de hospedagem de arquivos, como SharePoint, OneDrive e Dropbox, amplamente utilizados em ambientes corporativos como tática de evasão de defesa.
O objetivo closing das campanhas é amplo e variado, permitindo que os agentes de ameaças comprometam identidades e dispositivos e conduzam ataques de comprometimento de e-mail comercial (BEC), que acabam resultando em fraude financeira, exfiltração de dados e movimento lateral para outros terminais.
A transformação de serviços legítimos de Web (LIS) em armas é um vetor de risco cada vez mais in style adotado por adversários para se misturar ao tráfego de rede legítimo de uma maneira que muitas vezes contorna as defesas de segurança tradicionais e complica os esforços de atribuição.
A abordagem também é chamada de living-off-trusted-sites (LOTS), pois aproveita a confiança e a familiaridade desses serviços para contornar as barreiras de segurança de e-mail e distribuir malware.
A Microsoft disse que tem observado uma nova tendência em campanhas de phishing que exploram serviços legítimos de hospedagem de arquivos desde meados de abril de 2024, envolvendo arquivos com acesso restrito e restrições somente visualização.
Esses ataques geralmente começam com o comprometimento de um usuário dentro de um fornecedor confiável, aproveitando o acesso para preparar arquivos maliciosos e cargas úteis no serviço de hospedagem de arquivos para posterior compartilhamento com uma entidade alvo.
“Os arquivos enviados por meio de e-mails de phishing são configurados para serem acessíveis apenas ao destinatário designado”, afirmou. “Isso exige que o destinatário esteja conectado ao serviço de compartilhamento de arquivos – seja Dropbox, OneDrive ou SharePoint – ou que se autentique novamente inserindo seu endereço de e-mail junto com uma senha de uso único (OTP) recebida por meio de um serviço de notificação .”
Além do mais, os arquivos compartilhados como parte dos ataques de phishing são definidos no modo “somente visualização”, impedindo a capacidade de baixar e detectar URLs incorporados no arquivo.
Um destinatário que tenta acessar o arquivo compartilhado é então solicitado a verificar sua identidade, fornecendo seu endereço de e-mail e uma senha de uso único enviada para sua conta de e-mail.
Depois de autorizados com sucesso, o alvo é instruído a clicar em outro hyperlink para visualizar o conteúdo actual. No entanto, isso os redireciona para uma página de phishing de adversário no meio (AitM) que rouba sua senha e tokens de autenticação de dois fatores (2FA).
Isto não só permite que os agentes da ameaça tomem o controlo da conta, mas também a utilizem para perpetuar outras fraudes, incluindo ataques BEC e fraudes financeiras.
“Embora essas campanhas sejam genéricas e oportunistas por natureza, elas envolvem técnicas sofisticadas para realizar engenharia social, evitar a detecção e expandir o alcance dos agentes de ameaças para outras contas e locatários”, disse a equipe do Microsoft Menace Intelligence.
O desenvolvimento ocorre no momento em que Sekoia detalhou um novo package de phishing AitM chamado Mamba 2FA, que é vendido como phishing-as-a-service (PhaaS) a outros agentes de ameaças para conduzir campanhas de phishing por e-mail que propagam anexos HTML que se fazem passar pelas páginas de login do Microsoft 365.
O package, que é oferecido por assinatura por US$ 250 por mês, oferece suporte ao Microsoft Entra ID, AD FS, provedores de SSO terceirizados e contas de consumidores. O Mamba 2FA está em uso ativo desde novembro de 2023.
“Ele lida com verificações em duas etapas para métodos MFA não resistentes a phishing, como códigos únicos e notificações de aplicativos”, disse a empresa francesa de segurança cibernética. “As credenciais e cookies roubados são enviados instantaneamente ao invasor por meio de um bot do Telegram.”