🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um invasor executando uma operação de phishing ao vivo do Microsoft 365 deixou um servidor Web Python escutando em uma porta pública com a listagem de diretórios ativada. O comando que fez isso: python3 -m http.server 8080, ainda estava no .bash_history legível.
A partir desse lapso, a empresa de segurança francesa Lexfo retirou todo o kit de ferramentas da operadora e o direcionou para mais dois operadores de phishing, três campanhas no total. Cada um executou um fork personalizado do proxy Evilginx de código aberto, clonado do GitHub público.
O maior dos três estava em funcionamento há mais de um ano, e suas vítimas eram, em sua maioria, caixas de correio corporativas.
Os três superaram o MFA de duas maneiras mecanicamente diferentes, uma por proxy do login ao vivo e outra por abusar de um fluxo de login legítimo da Microsoft. Os dois precisam de defesas diferentes, que é a parte mais importante se você usa o Microsoft 365.
A listagem de diretórios em um servidor de ataque em funcionamento está próxima de uma confissão completa. A listagem expôs configurações de phishing, logs de coleta de credenciais, instaladores RMM, combolistas, arquivos de backup e os arquivos de sessão do Telegram da própria operadora.
Por trás dele, funcionava um proxy adversário intermediário Evilginx e um console remoto SimpleHelp no mesmo host, em 185.163.204[.]7 em Budapeste, catalogado no final de abril de 2026 durante uma varredura de rotina na Internet.
A história do bash e um conjunto de repositórios públicos apontavam diretamente para a operadora: um ator egípcio que a empresa rastreia como codemado, ativo em VoIP e fóruns de hackers desde 2018, agora executando uma plataforma Microsoft 365 AiTM no picis[.]net e monetizando o acesso por meio de uma mala direta que ele escreveu chamada MaDoO Blaster.
Sua campanha foi ao ar em 20 de abril e continuou até o dia em que o diretório foi encontrado, em 30 de abril, com novos subdomínios e um certificado curinga renovado aparecendo semanas depois. Seu próprio bot registrou capturas em duas contas corporativas do M365, uma francesa e uma norte-americana.
As capturas repetidas das mesmas contas de IPs diferentes são consistentes, diz a empresa, com a operadora atualizando os tokens roubados à medida que eles envelhecem.
De onde vieram os kits
codemado não construiu o framework que ele executa. Ele o clonou, e seu histórico do bash o mostra comparando os kits lado a lado. O servidor continha quatro variantes do Evilginx extraídas de dois outros desenvolvedores do GitHub, e ambos se revelaram operadores ativos por direito próprio.
A primeira, rainha vermelha, vem de uma operadora nigeriana que o relatório chama de mail-argenta, e mostra quanto polimento é aplicado a uma estrutura pública. Seu fork renomeia os atributos HTML de origem cruzada e integridade para derrotar as verificações de integridade de sub-recursos e adiciona um mecanismo de reescrita de URL a http_proxy.go para evitar a detecção baseada em caminho. Ele preenche previamente o endereço de e-mail da vítima para evitar o abandono.
Ele também define um TTL de um ano, 31.536.000 segundos, nos cookies de sessão da Microsoft capturados. O relatório diz que um login interceptado pode durar mais que uma redefinição de senha e, sem uma política de acesso condicional compatível com CAE, permanecer utilizável por meses.
Um evilginx2.exe pré-compilado está comprometido com o repositório, para que o comprador nunca precise criar nada. Um cookie M365 capturado no repositório tinha data de validade em 30 de junho de 2027.
mail-argenta foi pego da mesma forma que suas próprias vítimas. A empresa encontrou seu e-mail e uma senha nos registros do infostealer, o tipo de dados de credenciais coletadas que seus painéis de phishing existem para produzir. Essa senha vazada correspondia àquela codificada como senha do MySQL em seu painel Kraken e reutilizada em suas contas.
O quieto
A terceira bifurcação, black-queen, registrou muito mais capturas do que as outras duas e nunca toca em uma senha. Seu autor, que os pesquisadores não conseguiram identificar além do identificador saroula01, construiu-o em torno do fluxo de código do dispositivo OAuth da Microsoft, um caminho de login legítimo destinado a dispositivos com restrição de entrada.
O ataque gera um código de dispositivo real, envolve-o em uma página de isca com o tema Authenticator e instrui o alvo a inseri-lo no site microsoft.com/devicelogin genuíno. A vítima entra em uma página real da Microsoft e libera ela mesma o MFA. O back-end do saroula01 pesquisa o endpoint do token e pega o token no momento em que o faz.
Chamar isso de "desvio de MFA" é uma falta de como funciona: nada é ignorado. A página de atração tem como tema o Autenticador e foi criada pelo invasor, mas o código do dispositivo e a página da Microsoft onde a vítima termina são genuínos, portanto, o prompt do MFA que a vítima satisfaz é real.
Uma chave de acesso ou chave FIDO2 também não ajuda, porque a vítima a libera na infraestrutura genuína da Microsoft enquanto autoriza a sessão do invasor; a ligação de origem que interrompe o Evilginx passa de forma limpa quando a origem realmente é a Microsoft.
A Microsoft documentou a técnica em fevereiro de 2025, em uma campanha que avaliou com confiança média como alinhada à Rússia. Desde então, ele se espalhou muito além do uso apoiado pelo estado, em campanhas que atingiram centenas de organizações do Microsoft 365.
A partir desse lapso, a empresa de segurança francesa Lexfo retirou todo o kit de ferramentas da operadora e o direcionou para mais dois operadores de phishing, três campanhas no total. Cada um executou um fork personalizado do proxy Evilginx de código aberto, clonado do GitHub público.
O maior dos três estava em funcionamento há mais de um ano, e suas vítimas eram, em sua maioria, caixas de correio corporativas.
Os três superaram o MFA de duas maneiras mecanicamente diferentes, uma por proxy do login ao vivo e outra por abusar de um fluxo de login legítimo da Microsoft. Os dois precisam de defesas diferentes, que é a parte mais importante se você usa o Microsoft 365.
A listagem de diretórios em um servidor de ataque em funcionamento está próxima de uma confissão completa. A listagem expôs configurações de phishing, logs de coleta de credenciais, instaladores RMM, combolistas, arquivos de backup e os arquivos de sessão do Telegram da própria operadora.
Por trás dele, funcionava um proxy adversário intermediário Evilginx e um console remoto SimpleHelp no mesmo host, em 185.163.204[.]7 em Budapeste, catalogado no final de abril de 2026 durante uma varredura de rotina na Internet.
A história do bash e um conjunto de repositórios públicos apontavam diretamente para a operadora: um ator egípcio que a empresa rastreia como codemado, ativo em VoIP e fóruns de hackers desde 2018, agora executando uma plataforma Microsoft 365 AiTM no picis[.]net e monetizando o acesso por meio de uma mala direta que ele escreveu chamada MaDoO Blaster.
Sua campanha foi ao ar em 20 de abril e continuou até o dia em que o diretório foi encontrado, em 30 de abril, com novos subdomínios e um certificado curinga renovado aparecendo semanas depois. Seu próprio bot registrou capturas em duas contas corporativas do M365, uma francesa e uma norte-americana.
As capturas repetidas das mesmas contas de IPs diferentes são consistentes, diz a empresa, com a operadora atualizando os tokens roubados à medida que eles envelhecem.
De onde vieram os kits
codemado não construiu o framework que ele executa. Ele o clonou, e seu histórico do bash o mostra comparando os kits lado a lado. O servidor continha quatro variantes do Evilginx extraídas de dois outros desenvolvedores do GitHub, e ambos se revelaram operadores ativos por direito próprio.
A primeira, rainha vermelha, vem de uma operadora nigeriana que o relatório chama de mail-argenta, e mostra quanto polimento é aplicado a uma estrutura pública. Seu fork renomeia os atributos HTML de origem cruzada e integridade para derrotar as verificações de integridade de sub-recursos e adiciona um mecanismo de reescrita de URL a http_proxy.go para evitar a detecção baseada em caminho. Ele preenche previamente o endereço de e-mail da vítima para evitar o abandono.
Ele também define um TTL de um ano, 31.536.000 segundos, nos cookies de sessão da Microsoft capturados. O relatório diz que um login interceptado pode durar mais que uma redefinição de senha e, sem uma política de acesso condicional compatível com CAE, permanecer utilizável por meses.
Um evilginx2.exe pré-compilado está comprometido com o repositório, para que o comprador nunca precise criar nada. Um cookie M365 capturado no repositório tinha data de validade em 30 de junho de 2027.
mail-argenta foi pego da mesma forma que suas próprias vítimas. A empresa encontrou seu e-mail e uma senha nos registros do infostealer, o tipo de dados de credenciais coletadas que seus painéis de phishing existem para produzir. Essa senha vazada correspondia àquela codificada como senha do MySQL em seu painel Kraken e reutilizada em suas contas.
O quieto
A terceira bifurcação, black-queen, registrou muito mais capturas do que as outras duas e nunca toca em uma senha. Seu autor, que os pesquisadores não conseguiram identificar além do identificador saroula01, construiu-o em torno do fluxo de código do dispositivo OAuth da Microsoft, um caminho de login legítimo destinado a dispositivos com restrição de entrada.
O ataque gera um código de dispositivo real, envolve-o em uma página de isca com o tema Authenticator e instrui o alvo a inseri-lo no site microsoft.com/devicelogin genuíno. A vítima entra em uma página real da Microsoft e libera ela mesma o MFA. O back-end do saroula01 pesquisa o endpoint do token e pega o token no momento em que o faz.
Chamar isso de "desvio de MFA" é uma falta de como funciona: nada é ignorado. A página de atração tem como tema o Autenticador e foi criada pelo invasor, mas o código do dispositivo e a página da Microsoft onde a vítima termina são genuínos, portanto, o prompt do MFA que a vítima satisfaz é real.
Uma chave de acesso ou chave FIDO2 também não ajuda, porque a vítima a libera na infraestrutura genuína da Microsoft enquanto autoriza a sessão do invasor; a ligação de origem que interrompe o Evilginx passa de forma limpa quando a origem realmente é a Microsoft.
A Microsoft documentou a técnica em fevereiro de 2025, em uma campanha que avaliou com confiança média como alinhada à Rússia. Desde então, ele se espalhou muito além do uso apoiado pelo estado, em campanhas que atingiram centenas de organizações do Microsoft 365.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #servidor #mal #configurado #revela #três #operações #de #phishing #evilginx #direcionadas #ao #microsoft #365
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário