CISO Advisor: 242.318 page views/mês - 93.273 usuários/mês - 5.338 assinantes

Campanha maliciosa afeta centenas de contas do Azure

Da Redação
15/02/2024

A empresa de segurança cibernética Proofpoint observou uma nova campanha maliciosa visando dezenas de ambientes Microsoft Azure. Os operadores da ameaça têm como alvo centenas de profissionais com diversas funções operacionais e executivas em diferentes organizações. Isso inclui diretores de vendas, gerentes de contas, gerentes financeiros, vice-presidentes, presidentes, diretores financeiros e CEOs.

A campanha começou em novembro do ano passado e ainda está ativa, alerta a Proofpoint em um comunicado de segurança publicado na segunda-feira, 12.

Normalmente, os operadores de ameaças enviam às vítimas iscas de spear phishing, ou seja, e-mails maliciosos individualizados, que incluem documentos compartilhados. “Por exemplo, alguns documentos ‘iscas’ incluem links incorporados para ‘ver documento’ que, por sua vez, redirecionam os usuários para uma página de phishing ao clicar no URL”, diz o comunicado da Proofpoint.

Depois que a vítima clica no link malicioso, que instala uma carga útil, os operadores da ameaça usam um agente de usuário Linux específico para acessar uma série de aplicativos Microsoft 365 de suas vítimas, bem como seu aplicativo de login “OfficeHome”.

Depois de obter acesso a esses aplicativos, eles realizam uma série de atividades pós-comprometimento, incluindo manipulação de autenticação multifator (MFA), exfiltração de dados, phishing interno e externo e fraude financeira. Eles também criam regras de ocultação dedicadas na caixa de correio da vítima para encobrir seus rastros e apagar todas as evidências de atividades maliciosas.

Veja isso
Microsoft diz que quedas do Azure e Outlook foram ciberataques
Pesquisadores descobrem falhas de XSS nos serviços do Azure

A Proofpoint compartilhou a lista de aplicativos nativos adicionais do Microsoft 365 que invasores utilizam junto com esse agente de usuário para acessar o aplicativo de login OfficeHome:

  • Office365 Shell WCSS-Client (indicativo de acesso do navegador a aplicativos Office365)
  • Office 365 Exchange Online (indicativo de abuso de caixa de correio pós-comprometimento, exfiltração de dados e proliferação de ameaças de e-mail)
  • Meus logins (usado por invasores para manipulação de MFA)
  • Meus aplicativos
  • Meu perfil

Para ter mais detalhes, em inglês, da campanha maliciosa em andamento que afeta os ambientes de nuvem do Azure acesse o blog da Proofpoint clicando aqui.

Compartilhar: