Os hackers estão tentando um novo método para aumentar suas campanhas de phishing usando credenciais roubadas do Office 365 para registrar dispositivos Windows no Azure Active Directory.
Se os invasores conseguirem acessar a organização, eles lançarão uma segunda onda da campanha, que consistirá em enviar e-mails de phishing adicionais para alvos fora da organização e dentro dela.
Áreas-alvo
A Equipe de Inteligência de Ameaças do Microsoft 365 está monitorando uma campanha de malware direcionada a organizações na Austrália e no Sudeste Asiático.
Para obter informações sobre seus alvos, os invasores enviaram e-mails de phishing que pareciam ter sido enviados pela DocuSign. Quando os usuários clicaram no botão Exibir documento , eles foram levados para uma página de entrada falsa do Office 365 pré-preenchida com seus nomes de usuário.
“As credenciais roubadas da vítima foram usadas imediatamente para estabelecer uma conexão com o Exchange Online PowerShell, provavelmente usando um script automatizado como parte de um kit de phishing. Usando uma conexão remota do PowerShell, o invasor injetou uma regra de caixa de entrada usando o cmdlet New-InboxRule que removeu determinadas mensagens com base em palavras-chave no assunto ou no corpo da mensagem de email”, enfatizou a equipe de inteligência.
O filtro remove automaticamente as mensagens que contêm determinadas palavras associadas a spam, phishing, spam, hacking e proteção por senha, para que o usuário legítimo da conta não receba NDRs e notificações de e-mail de TI que, de outra forma, ele poderia ver.
Os invasores então instalaram o Microsoft Outlook em seu computador e o conectaram ao Azure Active Directory da organização vítima, possivelmente aceitando o prompt para registrar o Outlook na primeira execução.
Finalmente, uma vez que a máquina se tornou parte de um domínio e o cliente de e-mail foi configurado como qualquer outro uso comum nas organizações, e-mails de phishing de uma conta comprometida, convites falsos do SharePoint apontando para uma página de login falsa do Office 365 tornaram-se mais convincentes.
“As vítimas que inseriram suas credenciais na segunda etapa do site de phishing foram conectadas de maneira semelhante ao Exchange Online PowerShell e quase imediatamente foi criada uma regra para excluir emails em suas respectivas caixas de correio. A regra tinha as mesmas características da regra criada na primeira etapa do ataque de campanha”, disse a equipe.
Como dar a volta
Os invasores confiaram em credenciais roubadas; no entanto, vários usuários tinham a autenticação multifator (MFA) habilitada, o que impedia o roubo.
A equipe aconselhou as organizações a habilitar a autenticação multifator para todos os usuários e exigi-la quando os dispositivos ingressarem no Azure AD e considerar desabilitar o PowerShell do Exchange Online para usuários finais.
A Microsoft também compartilhou alertas de ameaças para ajudar as organizações a verificar se seus usuários foram comprometidos durante esta campanha, e disse que os defensores também devem revogar sessões ativas e tokens associados a contas comprometidas, remover regras de caixa de correio criadas por invasores e desabilitar e remover dispositivos maliciosos aos quais ingressaram. . para o Azure AD.
“A melhoria contínua na visibilidade e proteção dos dispositivos gerenciados está forçando os invasores a procurar caminhos alternativos. Embora o registro do dispositivo tenha sido usado para outros ataques de phishing neste caso, o uso do registro do dispositivo está aumentando à medida que outros casos de uso foram observados. Além disso, a disponibilidade imediata de ferramentas de teste de penetração projetadas para facilitar essa técnica só aumentará seu uso por outros no futuro”, disse a equipe.
Falhas que valem a pena ficar de olho
Os analistas de inteligência de ameaças da Microsoft notaram recentemente uma campanha de phishing direcionada a centenas de empresas, desta vez uma tentativa de induzir os funcionários a fornecer um aplicativo chamado “Atualização” acesso às suas contas do Office 365.
“Os e-mails de phishing induzem os usuários a conceder permissões de aplicativos que podem permitir que invasores criem regras de caixa de entrada, leiam e escrevam emails e itens de calendário e leiam contatos. A Microsoft desativou o aplicativo no Azure AD e notificou os clientes afetados”, disseram eles.
Os invasores também podem ignorar a autenticação multifator do Office 365 usando aplicativos não autorizados, roubando códigos de autorização ou obtendo tokens de acesso em vez de suas credenciais.
Você já foi vítima desses ataques de hackers antes? Compartilhe sua experiência conosco na seção de comentários abaixo.
Deixe um comentário