Pesquisadores de segurança descobriram uma nova campanha de phishing em grande escala usando técnicas de ataque man-in-the-middle, junto com várias outras táticas de evasão.
Man-in-the-middle é uma forma de ciberataque em que o cibercriminoso age como um intermediário entre a vítima e um site de banco ou mesmo outros usuários, por exemplo.
De acordo com um comunicado publicado pela empresa, técnicas semelhantes foram usadas em uma campanha de phishing separada dit pela Microsoft no mês passado. Agora, o ThreatLabz revelou que, usando a inteligência coletada na nuvem, houve um aumento no uso de kits avançados de phishing em uma campanha de grande escala em junho.
A empresa de segurança cibernética explicou que a nova campanha se destacou dos ataques de phishing “comumente vistos” por vários motivos. Em primeiro lugar porque, assim como a campanha identificada pela Microsoft, ela usou a técnica AiTM para contornar a autenticação multifator (MFA). Em segundo lugar, porque usou várias técnicas de evasão em vários estágios do ataque. Projetadas para contornar soluções típicas de segurança de e-mail e segurança de rede.
Com base nos dados analisados, acredita-se que a campanha foi projetada especificamente para atingir usuários finais em empresas que usam os serviços de e-mail da Microsoft. “O comprometimento de e-mail comercial (BEC) continua sendo uma ameaça sempre presente para as organizações e esta campanha destaca ainda mais a necessidade de proteção contra esses ataques”, dizia o comunicado.
Todos esses ataques de phishing começam com um e-mail enviado à vítima com um link malicioso, com novos domínios de phishing sendo registrados quase todos os dias pelos agentes da ameaça.
“Com base em nossa telemetria de dados em nuvem. A maioria das organizações visadas eram dos setores de fintech, empréstimos, finanças, seguros, contabilidade, energia e cooperativas de crédito federais”.
Além disso, a empresa disse que a maioria das organizações visadas estava localizada nos Estados Unidos, Reino Unido, Nova Zelândia e Austrália. Mas não descarta a possibilidade de ter cruzado outras fronteiras.
Para proteger contra esse ataque, a empresa de cibersegurança explicou que a autenticação multifator deve ser utilizada, mas não considerada uma bala de prata. “Com o uso de kits de phishing sofisticados e técnicas de evasão inteligentes. Os operadores de ameaças podem contornar as soluções de segurança tradicionais e avançadas.”
Como precaução extra, orienta os usuários a não abrir anexos ou clicar em links em e-mails enviados de fontes não confiáveis ou desconhecidas. “Como prática recomendada, em geral, os usuários devem verificar a URL na barra de endereço do navegador antes de inserir qualquer credencial.” Segundo a empresa, a campanha ainda está ativa.
