Os cibercriminosos estão utilizando ferramentas de cliente HTTP amplamente conhecidas, como Go Resty e Node Fetch, para realizar ataques de tomada de conta (ATO) em ambientes do Microsoft 365. Essas ferramentas, originalmente projetadas para desenvolvimento, estão sendo empregadas para explorar vulnerabilidades e facilitar ataques de força bruta.
Hackers utilizam clientes HTTP em ataques massivos ao Microsoft 365
De acordo com a Proofpoint, uma empresa de segurança cibernética, hackers estão aproveitando clientes HTTP como Axios, Node Fetch e Python Requests para realizar ataques sofisticados. Essas ferramentas permitem que os criminosos enviem e recebam requisições HTTP com alta precisão, explorando APIs para obter acesso a contas protegidas.
A Proofpoint identificou que, desde março de 2024, houve um aumento expressivo no uso dessas técnicas, com 78% dos locatários do Microsoft 365 sendo alvos de ataques ATO no segundo semestre de 2024. Em maio do mesmo ano, os ataques atingiram o pico, explorando redes de IPs residenciais comprometidos para aumentar a eficiência dos ataques.
Estratégias avançadas e novos alvos
Os invasores não apenas roubam credenciais, mas também implementam novas regras de e-mail para ocultar atividades maliciosas. Em alguns casos, registram aplicativos OAuth com permissões excessivas para manter acesso remoto aos ambientes comprometidos. Setores como transporte, construção, finanças, TI e saúde estão entre os principais alvos.
Em uma campanha que utilizou a biblioteca Axios, hackers direcionaram ataques contra executivos e tomadores de decisão. Entre junho e novembro de 2024, mais de 51% das organizações visadas sofreram impactos, com 43% das contas-alvo sendo comprometidas.
Notícias Relacionadas
Falha corrigida
AMD corrige falha de segurança no SEV contra microcódigo malicioso
A AMD corrigiu uma falha que permitia a execução de microcódigo malicioso, comprometendo a segurança do Secure Encrypted Virtualization (SEV). A vulnerabilidade foi revelada por pesquisadores do Google e afeta CPUs AMD Zen.
Alerta digital
Aplicativos na Google Play e App Store são flagrados roubando criptomoedas
Aplicativos infectados com um SDK malicioso foram descobertos na Google Play e App Store, roubando frases de recuperação de carteiras de criptomoedas. A campanha "SparkCat" já afetou mais de 242.000 usuários.
13 milhões de tentativas de pulverização de senhas
A Proofpoint também identificou uma campanha de pulverização de senhas em larga escala utilizando Node Fetch e Go Resty, resultando em 13 milhões de tentativas de login desde junho de 2024. Em média, mais de 66 mil tentativas ocorrem diariamente, embora a taxa de sucesso seja relativamente baixa, afetando apenas 2% das entidades-alvo.
Mais de 178 mil contas de usuários em cerca de 3 mil organizações foram alvejadas, com o setor educacional sendo o mais atingido. Muitas dessas contas pertencem a estudantes, que frequentemente possuem medidas de segurança mais fracas e podem ser exploradas em ataques subsequentes ou vendidas no mercado negro.
Evolução das ameaças e desafios futuros
A Proofpoint alerta que os hackers continuarão inovando suas táticas, alternando entre diferentes clientes HTTP para evitar detecção. “Com a evolução contínua dessas ferramentas, os ataques tendem a se tornar mais eficazes e difíceis de mitigar”, destaca a pesquisadora Anna Akselevich.
O crescente uso de ferramentas legítimas para ataques reforça a necessidade de medidas proativas de segurança. Empresas devem investir em autenticação multifator (MFA), monitoramento contínuo de acessos e implementação de políticas rígidas para mitigar riscos e reduzir a exposição a essas ameaças emergentes.
