Um agente malicioso está usando phishing por voz para atacar usuários do Microsoft 365 e enganá-los para que se inscrevam em uma nova chave de acesso do Microsoft Entra controlada pelo atacante.
A campanha explora o recurso de registro de senhas da Microsoft, disponibilizado para administradores em maio. Os atacantes ligam para os funcionários alegando que precisam registrar uma nova senha por motivos de segurança. A atividade estaria em curso desde abril.
Os atacantes imitam o cadastro de senhas do Microsoft Entra.
As vítimas são direcionadas para páginas de phishing que imitam o processo legítimo de inscrição com chave de acesso do Microsoft Entra.
Os sites falsos geralmente incluem a identidade visual da organização vítima, tornando o processo mais convincente. Em vez de registrarem sua própria senha, as vítimas, sem saber, ajudam o invasor a adicionar uma senha que ele controla.
O kit de phishing utiliza instruções reais do atacante.
Segundo a Okta , o kit de phishing não funciona como um proxy padrão do tipo "adversário no meio".
Em vez disso, utiliza um painel PHP controlado pelo operador que permite ao atacante guiar a vítima pelo processo de login em tempo quase real.
Isso permite que o atacante ajuste o fluxo de phishing dependendo do método de autenticação multifator (MFA) da vítima, incluindo códigos TOTP, notificações push, códigos SMS ou correspondência de números.
As credenciais e as respostas de autenticação multifator (MFA) inseridas pela vítima são repassadas ao invasor, que pode então usá-las para acessar a conta Microsoft da vítima.
Okta associa a campanha à Pink.
A Okta identifica o agente da ameaça como O-UNC-066.
O grupo está ligado a uma operação de extorsão conhecida como Pink, que, segundo relatos, está conectada à The Com, uma rede cibercriminosa descentralizada.
Pink é conhecida por golpes de phishing por voz, falsificação de identidade em serviços de TI, roubo de credenciais, roubo de códigos de autenticação multifator (MFA) e extorsão de dados.
A campanha teve como alvo organizações dos setores de alimentos e bebidas, tecnologia, saúde, automotivo, construção e aviação.
Invasores roubam dados do SharePoint e do OneDrive
Após obter acesso, Pink supostamente age rapidamente para roubar dados do SharePoint e do OneDrive.
O grupo lançou um site de extorsão em 31 de maio para publicar amostras de dados roubados e pressionar as vítimas a pagar.
As organizações devem verificar com mais cuidado a identidade do suporte técnico quando os funcionários receberem ligações inesperadas sobre alterações na segurança da conta.
As empresas também devem treinar os usuários para que considerem suspeitas as chamadas não solicitadas sobre novos métodos de autenticação, especialmente quando a pessoa que liga pede que eles registrem uma senha ou aprovem uma solicitação de MFA (autenticação multifator).
Esta não é a única campanha recente de phishing direcionada a usuários corporativos. A Kaspersky alertou sobre um ataque que explora fluxos OAuth , enquanto a plataforma de phishing ARToken foi recentemente exposta.
Golpes de suporte de TI também têm sido usados para distribuir o malware EtherRAT , mostrando que a engenharia social continua sendo um importante ponto de entrada para os atacantes.
Via BleepingComputer
Comentários