🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨

Confira agora e compartilhe com seus amigos!

Apoie esse projeto de divulgacao de noticias! Clique aqui
Um ator de ameaça tem como alvo organizações de vários setores com solicitações de segurança falsas baseadas em voz que solicitam aos usuários do Microsoft 365 que registrem uma nova chave de acesso Entra.

O invasor está aproveitando um novo recurso que a Microsoft abriu aos administradores em maio, permitindo-lhes realizar “campanhas de registro de senha” para motivar os usuários a registrar chaves de acesso para uma autenticação mais segura.

A campanha está em execução desde abril e envolve ligar para usuários-alvo e tentar convencê-los a registrar uma nova chave de acesso sob o controle do invasor.



Para mascarar o engano, o hacker direciona as vítimas para um kit de phishing que imita o processo legítimo de registro de senha da Microsoft.

A empresa de gerenciamento de identidade e acesso (IAM) baseada em nuvem, Okta, atribui a atividade a um ator que ela rastreia como O-UNC-066, que opera uma operação de extorsão conhecida como Pink.

Okta diz que O-UNC-066 tem como alvo usuários de organizações dos setores de alimentos e bebidas, tecnologia, saúde, automotivo, construção e aviação.

O estratagema da atualização de segurança

Durante a campanha, os funcionários visados são contactados por telefone sob o pretexto de que devem registar uma nova chave de acesso Microsoft Entra por razões de segurança e são direcionados para URLs de phishing que contêm a palavra “chave de acesso” no nome de domínio.

Os sites maliciosos incluem a marca da organização vítima e imitam o verdadeiro portal de registro de senha Entra.

Ao contrário do proxy adversário-in-the-middle (AiTM) mais comum, o kit é um painel PHP controlado pelo operador no qual o invasor orienta a vítima através do processo de phishing em tempo real, adaptando o fluxo com base no método de autenticação multifatorial (MFA) utilizado.

“[O kit de phishing] é um painel PHP controlado pelo operador no qual um agente de ameaça orienta as vítimas através de vários estágios de autenticação quase em tempo real, usando um mecanismo de pesquisa de pulsação de 1 segundo”, explica Okta.

“A operadora pode usar o kit para adaptar a experiência do usuário aos requisitos de MFA de cada vítima (TOTP, notificação push com correspondência de número, SMS OTP) durante a sessão.”

As credenciais e respostas de MFA inseridas pela vítima nas telas do kit são retransmitidas ao operador, que as utiliza para autenticar a conta Microsoft da vítima.

Página de criação de senha falsaFonte: Okta

Embora a vítima acredite que está registrando uma nova chave de acesso em suas contas, o invasor está, na verdade, registrando uma chave de acesso que controla.

Depois de obter acesso, o site de phishing apresenta à vítima páginas falsas de registro de senha da marca Microsoft, solicitando que ela salve uma frase de recuperação BIP-39 falsa e confirme uma palavra dela.

Frase de recuperação falsaFonte: Okta

Okta observa que as frases iniciais BIP-39 não têm nenhuma função no registro legítimo da chave de acesso do Microsoft Entra, mas podem servir como uma distração para usuários que não estão familiarizados com o processo.

Gangue de extorsão rosa

De acordo com a Unidade 42 da Palo Alto Networks, Pink é uma nova marca de extorsão afiliada à rede descentralizada de ameaças conhecida como The Com (abreviação de The Community).

O ator da ameaça é conhecido por usar vishing (phishing de voz) e personificação de TI para coletar credenciais e códigos de autenticação multifator (MFA), que são usados ​​em ataques que roubam dados da empresa.

O grupo de ameaças Pink lançou um site de extorsão em 31 de maio, onde publica amostras dos dados roubados para pressionar as vítimas comprometidas a pagar um resgate.

O site de extorsão PinkFonte: Okta

Os pesquisadores dizem que depois de obter acesso à conta da vítima, Pink age rapidamente para exfiltrar dados dos serviços SharePoint e OneDrive.

Brad Duncan, pesquisador principal de ameaças da Unidade 42 da Palo Alto Networks, observou no início de junho que alguns dos domínios de phishing usados ​​por Pink incluíam a palavra “chave de acesso”.

Okta recomenda que as organizações estabeleçam métodos para melhor verificar a identidade do pessoal do helpdesk ao entrar em contato com os usuários, bem como negar solicitações de locais onde a empresa não oferece serviços.







Teste todas as camadas antes que os invasores o façam

As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.

Obtenha o whitepaper



Siga Canal Fsociety para mais novidades:
Instagram | Facebook | Telegram | Twitter
#samirnews #samir #news #boletimtec #vishing #de #registro #de #chave #de #acesso #direcionado #a #usuários #do #microsoft #365
💡 Compartilhe e ajude nosso projeto a crescer!

Post a Comment