Uma nova campanha de phishing aproveitou a infraestrutura do Dropbox e contornou com sucesso os protocolos de autenticação multifator (MFA), revela uma nova pesquisa da Darktrace. A empresa de segurança cibernética destaca a crescente exploração de serviços populares legítimos, como o serviço de armazenamento de arquivos em nuvem, para induzir os alvos a baixar malware e revelar credenciais de login.
As descobertas também mostram como os invasores estão se tornando “especialistas” em evitar protocolos de segurança padrão, incluindo ferramentas de detecção de e-mail e MFA.
No hack ao Dropbox, os invasores tiveram como alvo um cliente da Darktrace em 25 de janeiro de 2024, com 16 usuários internos no ambiente SaaS (software como serviço) da organização recebendo um e-mail de ‘no-reply@dropbox[.]com.’ Este é um endereço de e-mail legítimo usado pelo serviço de armazenamento de arquivos Dropbox. .
O e-mail continha um link que levaria o usuário a um arquivo PDF hospedado no Dropbox, que aparentemente tinha o nome de um parceiro da organização. Esse arquivo PDF continha um link suspeito para um domínio que nunca havia sido visto anteriormente no ambiente do cliente, denominado ‘mmv-security[.]top.’
Os pesquisadores observaram que há “muito pouco para distinguir” e-mails maliciosos ou benignos de e-mails automatizados usados por serviços legítimos como o Dropbox. Portanto, essa abordagem é eficaz para escapar das ferramentas de segurança de e-mail e convencer os alvos a clicarem em um link malicioso.
O e-mail foi detectado e mantido pela ferramenta de segurança de e-mail da Darktace. No entanto, em 29 de janeiro, um usuário recebeu outro e-mail do endereço legítimo no-reply@dropbox[.]com, lembrando-o de abrir o arquivo PDF compartilhado anteriormente.
Embora a mensagem tenha sido movida para o arquivo de lixo eletrônico do usuário, o funcionário abriu o e-mail suspeito e seguiu o link para o arquivo PDF. O dispositivo interno conectou-se ao link malicioso mmv-security[.]top alguns dias depois. Esse link levava a uma página de login falsa do Microsoft 365, criada para coletar credenciais de titulares legítimos de contas SaaS.
Os pesquisadores acrescentaram que a abordagem de se passar por organizações confiáveis como a Microsoft é uma forma eficaz de parecer legítimo para os alvos.
Em 31 de janeiro, a Darktrace observou vários logins SaaS suspeitos de vários locais incomuns que nunca haviam acessado a conta anteriormente. Logins incomuns em 1º de fevereiro foram associados ao ExpressVPN, indicando que os operadores da ameaça usaram uma rede privada virtual (VPN) para mascarar sua localização real. Esses logins pareciam usar um token MFA válido, sugerindo que os invasores conseguiram contornar a política de MFA da organização.
Veja isso
Dropbox é usado para roubo de credenciais via phishing
Hackers acessam 130 repositórios de código-fonte do Dropbox
Os pesquisadores acreditam que o funcionário pode ter aprovado, sem saber, uma solicitação de autenticação MFA para autenticação em seu próprio dispositivo, uma vez que as credenciais foram comprometidas. Apesar de os invasores contornarem a MFA com credenciais legítimas, a equipe de segurança da organização ainda foi alertada sobre atividades suspeitas após identificar ações inesperadas nas contas SaaS.
Os pesquisadores observaram que é “relativamente simples” para invasores usarem soluções legítimas de terceiros, como o Dropbox, para ataques de phishing, em vez de dependerem de sua própria infraestrutura.
Para ter acesso ao relatório completo da Darktrace (em inglês) sobre o uso de phishing para a invasão ao Dropbox clique aqui.