Pesquisadores descobriram um mercado de phishing conhecido como ONNX Store, que fornece aos criminosos cibernéticos ferramentas para comprometer contas do Microsoft 365, incluindo técnicas para burlar a autenticação de dois fatores (2FA). Isso permite que os atacantes realizem campanhas de phishing direcionadas a contas de email do Microsoft 365 e Office 365. É essencial que as equipes de segurança corporativa estejam atentas a essa ameaça e adotem medidas de proteção contra phishing. Vamos examinar mais a fundo esse risco.
Um anexo malicioso com um código QR e desvio de 2FA
O relatório dos pesquisadores revela um ataque dirigido a funcionários de várias instituições financeiras, utilizando ferramentas de phishing adquiridas na ONNX Store. O ataque começa com o envio de e-mails que parecem vir dos departamentos de RH das vítimas, com mensagens sobre questões salariais.
Esses e-mails incluem anexos em PDF que apresentam um código QR. O QR code direciona para um “documento seguro” com “informações importantes” sobre o salário, incentivando a vítima a acessar o link. A estratégia é que a vítima abra o link em um dispositivo pessoal, como um smartphone, ao invés de um computador corporativo que pode ter proteção contra phishing.
O link leva a um site de phishing que replica a página de login do Microsoft 365. Nesse site, a vítima é solicitada a inserir suas credenciais, incluindo nome de usuário, senha e um código único de autenticação de dois fatores (2FA).
Toda a informação coletada é rapidamente encaminhada para os atacantes. Como os códigos de autenticação de dois fatores (2FA) têm uma validade muito curta, geralmente de 30 segundos, o kit de phishing utiliza o protocolo WebSocket para garantir uma comunicação em tempo real.
Com as credenciais obtidas e o código de 2FA ainda válido, os invasores acessam imediatamente a conta da vítima e ganham controle total sobre suas mensagens. Esse acesso pode ser utilizado para realizar ataques de comprometimento de e-mail corporativo (BEC) e outras ameaças semelhantes.
Phishing como serviço: muito phishing no mar
No cerne dessa operação de phishing está o aplicativo de mensagens Telegram. A ONNX Store utiliza automação extensiva, com toda a interação com os usuários sendo gerenciada por bots no Telegram.
Os operadores oferecem serviços de phishing por meio de assinaturas, com preços acessíveis: uma assinatura mensal para capturar senhas de contas do Microsoft 365 custa US$ 200 sem proteção contra 2FA, e US$ 400 com proteção.
Até mesmo pequenos cibercriminosos podem arcar com esse custo. Com um investimento relativamente baixo, eles obtêm acesso a um conjunto sofisticado de ferramentas de phishing. O único requisito é escolher um alvo e desenvolver um plano para monetizar o acesso obtido.
Como proteger sua organização contra phishing avançado
A baixa barreira de entrada é o que torna o modelo de phishing como serviço uma ameaça significativa: o número de cibercriminosos com acesso a ferramentas perigosas se amplia consideravelmente. Por isso, é crucial adotar medidas preventivas contra ataques avançados de phishing em sua organização. Aqui estão nossas recomendações:
- Use Tokens de Hardware FIDO U2F (como YubiKeys) ou Chaves de Acesso para 2FA: Essas ferramentas são eficazes contra ataques de phishing, mesmo os mais sofisticados e ocultos.
- Implemente uma solução de segurança robusta com proteção antiphishing: Garanta que todos os dispositivos corporativos, incluindo smartphones e tablets, estejam cobertos.
- Realize treinamentos regulares de conscientização de segurança: Ensine os funcionários a identificar e manejar e-mails suspeitos. Nossa plataforma interativa de conscientização de segurança da Kaspersky oferece todos os recursos necessários para isso e muito mais.
