Uma nova campanha de phishing direcionada a contas corporativas do Google e da Microsoft possui a capacidade de contornar ferramentas tradicionais de segurança, permitindo o roubo de credenciais e informações valiosas das organizações. O alerta foi dado pela Okta Threat Intelligence, na quinta-feira (11).

Denominada “VoidProxy”, a sofisticada ameaça funciona como um serviço de phishing, ou seja, é disponibilizada para diferentes grupos de cibercriminosos que podem aproveitar a infraestrutura em suas ações maliciosas. Os primeiros ataques foram relatados em janeiro e seguem acontecendo, impactando alvos de alto valor.

Como o ataque funciona?

As operações envolvendo o VoidProxy começam com o envio de emails de phishing a partir de contas legítimas, porém comprometidas, para aumentar a credibilidade. As mensagens incluem um link malicioso encurtado que redireciona a vítima várias vezes até chegar ao site fraudulento.

• Essas páginas contêm o desafio CAPTCHA para comprovar que o visitante é humano e são visualmente idênticas às páginas de login do Google e da Microsoft ou de outros provedores;
• Acreditando que está na página verdadeira, a vítima digita suas credenciais de acesso que são capturadas pelo servidor proxy do serviço e retransmitidas aos invasores, incluindo as respostas da autenticação multifator;
• O servidor também copia o cookie de sessão validado, permitindo que os cibercriminosos o utilizem para acessar a conta do alvo;
• Todas essas informações ficam disponíveis em um painel administrativo, por meio do qual os clientes do serviço acompanham a coleta e o roubo dos dados em tempo real.

De acordo com a Okta, este serviço de phishing vem sendo comercializado em fóruns da dark web desde meados do ano passado. As capacidades da ferramenta são aproveitadas em ataques que comprometem pequenas e grandes empresas, de vários países.

Não há um número confirmado de vítimas, mas a empresa de cibersegurança alega que contas de alta confiança foram comprometidas. “O VoidProxy representa uma ameaça madura, escalável e evasiva aos controles tradicionais de segurança e autenticação de email”, destacou, em comunicado.

Recomendações de segurança

Para se proteger desta nova campanha de phishing contra contas do Google e Microsoft de corporações, os pesquisadores sugerem que as empresas ativem autenticadores fortes, como FIDO2 Web Authn e Okta FastPass. O treinamento para identificar emails suspeitos, sites fraudulentos e técnicas de engenharia social é outra prática importante.

Questionados pelo The Register sobre os ataques e a quantidade de contas invadidas por meio deste procedimento, Google e Microsoft se recusaram a fornecer os detalhes.

Curtiu o conteúdo? Continue acompanhando as notícias mais recentes no TecMundo e não se esqueça de compartilhá-las nas redes sociais com os amigos.