- O grupo norte-coreano Kimsuky está usando phishing de código QR para roubar credenciais
- Os ataques contornam o MFA por meio do roubo de token de sessão, explorando dispositivos móveis não gerenciados fora das proteções EDR
- FBI pede defesa em várias camadas: treinamento de funcionários, protocolos de relatórios QR e gerenciamento de dispositivos móveis
Os norte-coreanos têm como alvo instituições governamentais, grupos de reflexão e universidades dos EUA com phishing de códigos QR altamente sofisticados, ou ataques de “quishing”, em busca de seus Microsoft Credenciais 365, Okta ou VPN.
Isto está de acordo com o Federal Bureau of Investigation (FBI), que publicou recentemente um novo relatório Flash, alertando os parceiros nacionais e internacionais sobre a campanha em curso.
No relatório, é dito que um agente de ameaça conhecido como Kimsuky está enviando iscas convincentes por e-mail, contendo imagens com códigos QR. Como as imagens são mais difíceis de digitalizar e consideradas maliciosas, o e-mails ignorar as proteções com mais facilidade e chegar às caixas de entrada das pessoas.
Roubando tokens de sessão e credenciais de login
O FBI também disse que os computadores corporativos são geralmente bem protegidos, mas os códigos QR são mais facilmente digitalizados com telefones celulares – dispositivos não gerenciados fora dos limites normais de detecção e resposta de endpoint (EDR) e de inspeção de rede. Isso também aumenta a probabilidade de os ataques terem sucesso.
Quando a vítima verifica o código, ele é enviado por meio de vários redirecionadores que coletam diferentes informações e atributos de identidade, como agente do usuário, sistema operacionalendereço IP, localidade e tamanho da tela. Esses dados são então usados para levar a vítima a uma página personalizada de coleta de credenciais, representando portais Microsoft 365, Okta ou VPN.
Se a vítima não detectar o truque e tentar fazer login, as credenciais acabarão com os invasores. Além do mais, esses ataques geralmente terminam com roubo e repetição de token de sessão, permitindo que os agentes da ameaça contornem a autenticação multifator (AMF) e sequestrar contas na nuvem sem acionar o alerta usual de “falha na MFA”.
“Os adversários então estabelecem persistência na organização e propagam o spearphishing secundário a partir da caixa de correio comprometida”, afirmou ainda o FBI. “Como o caminho de comprometimento se origina em dispositivos móveis não gerenciados, fora dos limites normais de Endpoint Detection and Response (EDR) e de inspeção de rede, o quishing agora é considerado um vetor de intrusão de identidade de alta confiança e resiliente a MFA em ambientes corporativos.”
Para se defender contra os ataques avançados de Kimsuky, o FBI recomenda uma estratégia de segurança “multicamadas”, que inclui a educação dos funcionários, a criação de protocolos claros para relatar códigos QR suspeitos, a implantação de gerenciamento de dispositivos móveis (MDM) capaz de analisar URLs vinculados a QR e muito mais.
Através As notícias dos hackers
O melhor antivírus para todos os orçamentos
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok para notícias, análises, unboxings em formato de vídeo e receba atualizações regulares nossas em WhatsApp também.