- Hackers exploram e-mails do SharePoint para roubar credenciais de grandes empresas de energia
- Os invasores estabelecem persistência com regras de caixa de entrada e adulteração de MFA para manter o acesso
- A Microsoft aconselha políticas de acesso condicional e MFA resistente a phishing para defesa
Os hackers estão, mais uma vez, usando SharePoint para atingir grandes empresas de energia, roubar credenciais de e-mail de funcionários e propagar ainda mais o ataque.
Isto está de acordo com um novo relatório da Microsoftque afirma que “múltiplas” grandes organizações do sector energético já foram visadas.
O ataque começa a partir de um local previamente comprometido conta de e-mail. Os criminosos usam-no para contato inicial, enviando um e-mail de aparência legítima com um link do SharePoint. Quando clicado, o link redireciona as vítimas para um site de coleta de credenciais, onde são solicitadas a fazer login.
O que fazer para se manter seguro
As vítimas que tentam fazer login compartilham suas credenciais com os invasores, que obtêm acesso a contas de e-mail corporativas reais e acessam-nas a partir de um endereço IP diferente. Depois disso, eles dão alguns passos para estabelecer persistência enquanto se escondem das vítimas.
Essas etapas incluem a criação de uma regra de caixa de entrada para excluir mensagens recebidas e marcar e-mails como lidos.
Na etapa final, os invasores enviam grandes volumes de novos e-mails de phishing para contatos internos e externos, bem como para listas de distribuição. As caixas de entrada são monitoradas, as falhas de entrega e os e-mails OOO são excluídos e, para manter a aparência de legitimidade, as respostas são lidas e as dúvidas são respondidas.
A Microsoft não compartilhou detalhes sobre a campanha e seu sucesso. Não sabemos o número exato de organizações visadas ou quantas pessoas tiveram suas caixas de entrada comprometidas como resultado.
A empresa ressaltou que para aqueles que estão comprometidos, simplesmente redefinir a senha não será suficiente, uma vez que os criminosos criaram regras e alteraram configurações que permitem a persistência mesmo quando são expulsos.
“Mesmo que a senha do usuário comprometido seja redefinida e as sessões revogadas, o invasor pode configurar métodos de persistência para entrar de maneira controlada, adulterando AMF“, alerta a Microsoft.
“Por exemplo, o invasor pode adicionar uma nova política de MFA para fazer login com uma senha de uso único (OTP) enviada ao número de celular registrado do invasor. Com esses mecanismos de persistência em vigor, o invasor pode ter controle sobre a conta da vítima, apesar das medidas convencionais de remediação.”
Além da MFA, a Microsoft também sugeriu políticas de acesso condicional que podem disparar alarmes se determinadas condições forem atendidas.
Através O Registro
O melhor antivírus para todos os orçamentos
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok para notícias, análises, unboxings em formato de vídeo e receba atualizações regulares nossas em WhatsApp também.