Hackers burlam autenticação multifator e avançam contra contas de CEOs e CFOs

Cibercriminosos estão conseguindo burlar a autenticação multifator (MFA) e miram executivos C-Level em busca de credenciais com acesso privilegiado à informações sensíveis, alertou um novo estudo realizado pela Proofpoint. Mesmo que o MFA tenha aumentado nos últimos anos entre as organizações e usuários, atacantes têm conseguido novas formas para comprometer contas.

Prova disso é que, pelo menos 35% de todos os usuários comprometidos durante o ano passado tinham o MFA ativado.

De acordo com as descobertas da Proofpoint, cibercriminosos estão usando métodos avançados para sofisticar um outro já conhecido: o phishing. Os invasores têm usado uma nova automação avançada para determinar, com precisão em tempo real, se um usuário phishing é um perfil de alto nível, para assim, obter acesso imediato à conta, ignorando perfis phishing menos lucrativos.

Em paralelo a isso, há também uma nova oferta entre os cibercriminosos que populariza os ataques: o chamado MFA Phishing as a Service (PhaaS). O método permite a aspirantes a phishers de credenciais, mesmo com baixa aptidão técnica, paguem por kits pré-configurados para uma variedade de serviços online, como Gmail, Microsoft, Dropbox, Facebook, Twitter etc.

Leia também: Empresas na A. Latina levam até 11 meses para responder a incidentes de segurança

Em posse de um serviço de PhaaS, o invasor precisa apenas configurar uma campanha usando uma interface simples e de baixo custo. Essa nova abordagem, diz a Proofpoint, permitiu abrir abriu uma comporta para atividades bem-sucedidas de phishing de MFA.

Como acontece

Entre os kit de ferramentas para ataques phishing mais conhecidos está o EvilProxy. Sua eficácia, segundo a Proofpoint, é amplamente reconhecida, mesmo assim há uma lacuna preocupante na conscientização pública sobre seus riscos e possíveis consequências.

Desde o início de março, os pesquisadores da Proofpoint monitoram uma campanha híbrida em andamento usando o EvilProxy para atingir milhares de contas de usuário do Microsoft 365. Foram identificados cerca de 120 mil e-mails de phishing enviados para centenas de organizações-alvo em todo o mundo entre março e junho de 2023.

Para atrair vítimas, os invasores usaram e-mails de phishing se passando por serviços confiáveis, como Adobe, Concur e Docusign. Com isso iniciaram uma cadeia de infecções, tendo como alvo líderes de empresas, como CEOs, CFOs e vice-presidentes. “Esses cargos são valorizados pelos agentes de ameaças devido ao seu potencial de acesso a dados confidenciais e ativos financeiros”, destaca a Proofpoint.

Depois que um usuário-alvo forneceu suas credenciais, os invasores conseguiram fazer login em sua conta do Microsoft 365 em segundos, indicando um processo simplificado e automatizado. O estudo observa, entretanto, que nem todos os usuários que caíram na isca inicial de phishing e enviaram suas credenciais foram acessados por pessoas mal-intencionadas.

“Em contraste com outras campanhas maliciosas que observamos, neste caso, os invasores priorizaram claramente apenas os alvos “VIP”, ignorando aqueles de menor valor para eles”, explica a Proofpoint.

De acordo com os pesquisadores, esse padrão pode ser uma indicação de um processo que faz uso de informações organizacionais da vítima obtidas de outras fontes, provavelmente informações disponibilizadas ao público. Entre as centenas de usuários comprometidos, aproximadamente 39% eram executivos de C- level, dos quais 17% eram diretores financeiros e 9% eram presidentes e CEOs.

Os invasores também demonstraram interesse no gerenciamento de nível inferior, concentrando seus esforços no pessoal com acesso a ativos financeiros ou informações confidenciais.

Após os invasores acessarem a conta da vítima, eles consolidam sua posição no ambiente de nuvem da organização afetada. Em várias ocasiões, os agentes de ameaças aproveitaram um aplicativo nativo do Microsoft 365 para executar a manipulação de MFA. Assim, eles foram capazes de adicionar seu próprio método de autenticação multifator, estabelecendo acesso persistente a contas de usuário comprometidas.

“Concluindo, mesmo o MFA não é blindado contra ameaças sofisticadas e pode ser contornado por várias formas de ataques combinados de e-mail à nuvem. Embora o vetor de ameaça inicial desses ataques seja baseado em e-mail, seu objetivo final é comprometer e explorar contas, ativos e dados valiosos de usuários na nuvem”, alerta o estudo.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!