- Hackers exploram e-mails do SharePoint para roubar credenciais de grandes empresas de energia
- Os invasores implementam persistência com regras de caixa de entrada e manipulação de MFA para manter o acesso
- A Microsoft recomenda políticas de acesso condicional e MFA anti-phishing para defesa
Os hackers estão mais uma vez usando o SharePoint para atingir grandes empresas de energia para roubar credenciais de e-mail de funcionários e expandir ainda mais seus ataques.
Isso está de acordo com um novo relatório da Microsoft, e “múltiplas” grandes organizações do setor energético já foram visadas.
O ataque começa a partir de uma conta de email previamente comprometida. Os criminosos usam-no para contato inicial, enviando um e-mail aparentemente legítimo com um link do SharePoint. Quando clicado, o link redireciona as vítimas para um site de coleta de credenciais, onde são solicitadas a fazer login.
O que fazer para se manter seguro
As vítimas que tentam fazer login compartilham suas credenciais com os invasores, que obtêm acesso a contas de e-mail corporativas reais e fazem login a partir de um endereço IP diferente. Depois disso, eles tomam algumas medidas para estabelecer persistência enquanto se escondem de suas vítimas.
Essas etapas incluem a criação de uma regra de caixa de entrada para excluir mensagens recebidas e marcar e-mails como lidos.
Na etapa final, os invasores enviam grandes volumes de novos e-mails de phishing para contatos internos e externos, bem como para listas de distribuição. As caixas de entrada são monitoradas, as falhas de entrega e os e-mails OOO são excluídos e, para manter a aparência de legitimidade, as respostas são lidas e as dúvidas são respondidas.
A Microsoft não compartilhou detalhes sobre a campanha e seu sucesso. Não sabemos o número exato de organizações visadas, nem quantas pessoas tiveram suas caixas de entrada comprometidas como resultado.
A empresa ressaltou que, para quem está em risco, a redefinição de senha não é suficiente, pois os criminosos criaram regras e alteraram configurações que permitem que elas persistam mesmo quando removidas.
“Mesmo que a senha de um usuário comprometido seja redefinida e as sessões revogadas, um invasor pode configurar métodos de persistência para fazer login de maneira controlada, manipulando o MFA”, alertou a Microsoft.
“Por exemplo, um invasor pode adicionar uma nova política de MFA para fazer login com uma senha de uso único (OTP) enviada ao número de telefone registrado do invasor. Com esses mecanismos de persistência implementados, o invasor pode obter o controle da conta da vítima, apesar das medidas convencionais de remediação.”
Além do MFA, a Microsoft também sugeriu políticas de acesso condicional que podem disparar alarmes se determinadas condições forem atendidas.
Através registro
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber notícias, análises, unboxings de vídeos e receber atualizações regulares nossas WhatsApp também
