Uma operação de phishing em andamento, possivelmente vinculada a agentes russos, está mirando usuários do Microsoft 365 em diversos setores. Os alvos incluem governamentais, ONGs, tecnologia, defesa, telecomunicações, saúde e energia, distribuídos entre Europa, América do Norte, África e Oriente Médio.
Hackers utilizam phishing de código de dispositivo para acessar e-mails do microsoft 365
Os ataques são rastreados pelo Microsoft Threat Intelligence Center sob o código ‘Storm-237’. Especialistas acreditam que essa campanha tem ligação com um Estado-nação devido à sofisticação e ao público-alvo das ofensivas.
A técnica explora dispositivos sem suporte a teclado ou navegador, como smart TVs e IoTs, que utilizam autenticação baseada em código. Normalmente, o usuário insere um código de autorização em outro dispositivo, como um computador, para acessar um serviço.
Desde agosto de 2024, o Storm-237 tem abusado desse fluxo de autenticação para induzir usuários a inserir códigos de dispositivo maliciosos em páginas de login oficiais da Microsoft.
Engenharia social como principal vetor
Os criminosos iniciam o contato com as vítimas se passando por figuras relevantes por meio de aplicativos como WhatsApp, Signal e Microsoft Teams. Eles constroem confiança antes de enviar convites falsos para reuniões online, contendo códigos de dispositivo gerados pelos invasores.
Ao inserir o código na plataforma oficial, o usuário sem querer concede acesso ao atacante, permitindo a coleta de e-mails e dados via Graph API sem necessidade de senha. O Storm-237 explora essa vulnerabilidade para acessar serviços de e-mail e armazenamento em nuvem, aproveitando-se da validade dos tokens roubados.
Notícias Relacionadas
Ataque cibernético
Grupo chinês ataca governo russo com nova versão do malware MysterySnail
Hackers chineses do grupo IronHusky lançam ataques contra alvos russos e mongóis com uma nova variante do malware MysterySnail RAT, destacando o avanço das táticas cibernéticas.
Ameaça persistente
Cadeia de infecção em múltiplos estágios dribla defesas com Agent Tesla e XLoader
Campanha de malware em estágios sequenciais usa e-mails falsos e scripts ofuscados para implantar RATs como Agent Tesla, Remcos e XLoader, escapando da detecção tradicional.
Novos métodos de persistência
A Microsoft identificou que os hackers estão utilizando um ID de cliente específico do Microsoft Authentication Broker para gerar novos tokens de acesso. Esse método permite que os criminosos registrem dispositivos no Entra ID, expandindo o ataque e garantindo presença persistente no sistema comprometido.
Com esse acesso avançado, o Storm-237 pode obter um Token de Atualização Primário (PRT), ampliando ainda mais a capacidade de explorar recursos internos das organizações atacadas.
Como se proteger do ataque?
Para mitigar o risco do phishing de código de dispositivo, a Microsoft recomenda:
- Bloquear o fluxo de código de dispositivo sempre que possível.
- Aplicar políticas de acesso condicional no Entra ID, limitando o login apenas a dispositivos confiáveis.
- Revogar tokens de sessão suspeitos usando o comando ‘revokeSignInSessions’.
- Forçar reautenticação de usuários que possam ter sido comprometidos.
- Monitorar logs de login, identificando tentativas incomuns de autenticação de código de dispositivo.
Ficar atento a tentativas inesperadas de login e configurar alertas para acessos suspeitos pode ajudar a evitar que credenciais sejam comprometidas. Com as técnicas de ataque evoluindo, manter medidas de segurança atualizadas é essencial para evitar invasões.
