{"id":21315,"date":"2024-10-13T14:19:40","date_gmt":"2024-10-13T17:19:40","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=21315"},"modified":"2024-10-13T14:21:58","modified_gmt":"2024-10-13T17:21:58","slug":"microsoft-detecta-hospedagem-de-arquivos-em-ataques-de-e-mail-corporativo","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2024\/10\/exploits\/microsoft-detecta-hospedagem-de-arquivos-em-ataques-de-e-mail-corporativo\/","title":{"rendered":"Microsoft detecta hospedagem de arquivos em ataques de e-mail corporativo"},"content":{"rendered":"\n

Microsoft detecta uso crescente de servi\u00e7os de hospedagem de arquivos em ataques de comprometimento de e-mail corporativo<\/strong><\/p>\n

A Microsoft emitiu um alerta sobre campanhas de ataques cibern\u00e9ticos que est\u00e3o explorando servi\u00e7os leg\u00edtimos de hospedagem de arquivos, como SharePoint, OneDrive e Dropbox, amplamente utilizados em ambientes corporativos, como uma t\u00e1tica para evas\u00e3o de defesas de seguran\u00e7a.<\/p>\n

O objetivo final dessas campanhas \u00e9 variado, permitindo que os agentes mal-intencionados comprometam identidades e dispositivos e realizem ataques de comprometimento de e-mail corporativo (BEC, na sigla em ingl\u00eas), o que em \u00faltima an\u00e1lise, resulta em fraudes financeiras, exfiltra\u00e7\u00e3o de dados e movimentos laterais para outros pontos da rede.<\/p>\n

A utiliza\u00e7\u00e3o de servi\u00e7os leg\u00edtimos da internet (LIS, na sigla em ingl\u00eas) tem se tornado uma pr\u00e1tica cada vez mais popular entre os advers\u00e1rios. Ao utilizarem esses servi\u00e7os, os invasores conseguem se misturar ao tr\u00e1fego leg\u00edtimo da rede, o que permite contornar defesas tradicionais e dificulta os esfor\u00e7os de atribui\u00e7\u00e3o dos ataques.<\/p>\n

Essa abordagem \u00e9 conhecida como living-off-trusted-sites (LOTS), ou “vivendo de sites confi\u00e1veis”, aproveitando a confian\u00e7a e familiaridade desses servi\u00e7os para driblar as prote\u00e7\u00f5es de seguran\u00e7a de e-mail e distribuir malwares.<\/p>\n

\u00a0<\/p>\n

\"Business<\/p>\n

\u00a0<\/p>\n

Desde meados de abril de 2024, a Microsoft observou uma nova tend\u00eancia em campanhas de phishing que exploram servi\u00e7os leg\u00edtimos de hospedagem de arquivos. Essas campanhas envolvem arquivos com acesso restrito e permiss\u00f5es de “somente visualiza\u00e7\u00e3o”.<\/p>\n

Esses ataques geralmente come\u00e7am com o comprometimento de um usu\u00e1rio dentro de um fornecedor confi\u00e1vel. O invasor, ent\u00e3o utiliza esse acesso para preparar arquivos maliciosos e cargas \u00fateis nos servi\u00e7os de hospedagem de arquivos, que s\u00e3o posteriormente compartilhados com uma entidade-alvo.<\/p>\n

“Os arquivos enviados por meio de e-mails de phishing s\u00e3o configurados para serem acess\u00edveis apenas para o destinat\u00e1rio designado”, afirmou a Microsoft. “Isso exige que o destinat\u00e1rio fa\u00e7a login no servi\u00e7o de compartilhamento de arquivos, ou seja Dropbox, OneDrive ou SharePoint, ou que se reautentique inserindo seu endere\u00e7o de e-mail junto com uma senha de uso \u00fanico (OTP) recebida por um servi\u00e7o de notifica\u00e7\u00e3o.”<\/p>\n

Al\u00e9m disso, os arquivos compartilhados como parte dos ataques de phishing est\u00e3o configurados no modo “somente visualiza\u00e7\u00e3o”, impedindo que o usu\u00e1rio fa\u00e7a o download e detecte URLs incorporados no arquivo.<\/p>\n

Quando o destinat\u00e1rio tenta acessar o arquivo, \u00e9 solicitado que ele verifique sua identidade fornecendo seu endere\u00e7o de e-mail e uma senha de uso \u00fanico enviada para sua conta de e-mail. Ap\u00f3s a autoriza\u00e7\u00e3o bem-sucedida, o alvo \u00e9 instru\u00eddo a clicar em outro link para visualizar o conte\u00fado real. No entanto, esse link o redireciona para uma p\u00e1gina de phishing adversary-in-the-middle (AitM), que rouba sua senha e os tokens de autentica\u00e7\u00e3o de dois fatores (2FA).<\/p>\n

Isso n\u00e3o apenas permite que os invasores assumam o controle da conta, mas tamb\u00e9m utilizem esse acesso para realizar outros golpes, incluindo ataques BEC e fraudes financeiras.<\/p>\n

\u00a0<\/div>\n
\"Business<\/a><\/div>\n
\u00a0<\/div>\n

“Embora essas campanhas sejam gen\u00e9ricas e oportunistas por natureza, elas envolvem t\u00e9cnicas sofisticadas para realizar engenharia social, evadir detec\u00e7\u00f5es e expandir o alcance dos invasores para outras contas e locat\u00e1rios”, destacou a equipe de Intelig\u00eancia de Amea\u00e7as da Microsoft.<\/p>\n

Esse desenvolvimento ocorre enquanto a Sekoia detalhou um novo kit de phishing AitM chamado Mamba 2FA, vendido como phishing-as-a-service (PhaaS) para outros agentes de amea\u00e7a, visando campanhas de phishing de e-mail com anexos HTML que imitam p\u00e1ginas de login do Microsoft 365.<\/p>\n

O kit, que \u00e9 oferecido por assinatura por US$ 250 por m\u00eas, suporta o Microsoft Entra ID, AD FS, provedores de SSO de terceiros e contas de consumidor. O Mamba 2FA tem sido utilizado ativamente desde novembro de 2023.<\/p>\n

“Ele lida com verifica\u00e7\u00f5es em duas etapas para m\u00e9todos de MFA n\u00e3o resistentes a phishing, como c\u00f3digos de uso \u00fanico e notifica\u00e7\u00f5es de aplicativos”, informou a empresa francesa de ciberseguran\u00e7a. “As credenciais e cookies roubados s\u00e3o instantaneamente enviados ao atacante via bot do Telegram.”<\/p>\n

\u00a0<\/p>\n

Fonte e Imagens: https:\/\/thehackernews.com\/2024\/10\/microsoft-detects-growing-use-of-file.html<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Microsoft detecta uso crescente de servi\u00e7os de hospedagem de arquivos em ataques de comprometimento de e-mail corporativo A Microsoft emitiu um alerta sobre campanhas de ataques cibern\u00e9ticos que est\u00e3o explorando servi\u00e7os leg\u00edtimos de hospedagem de arquivos, como SharePoint, OneDrive e Dropbox, amplamente utilizados em ambientes corporativos, como uma t\u00e1tica para evas\u00e3o de defesas de seguran\u00e7a. […]<\/p>\n","protected":false},"author":2,"featured_media":21321,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21,105],"tags":[],"class_list":["post-21315","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21315","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=21315"}],"version-history":[{"count":8,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21315\/revisions"}],"predecessor-version":[{"id":21324,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21315\/revisions\/21324"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/21321"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=21315"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=21315"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=21315"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}