- O grupo norte-coreano Kimsuky está usando phishing de código QR para roubar credenciais
- Os ataques contornam a MFA através do roubo de tokens de sessão, explorando dispositivos móveis não gerenciados fora das proteções EDR
- O FBI exige uma defesa em várias camadas: treinamento de funcionários, protocolos de relatórios QR e gerenciamento de dispositivos móveis
A Coreia do Norte tem como alvo organizações governamentais, think tanks e universidades dos EUA com ataques altamente sofisticados de phishing ou “quishing” de código QR usando credenciais do Microsoft 365, Okta ou VPN.
Isto está de acordo com o Federal Bureau of Investigation (FBI), que publicou recentemente um novo relatório Flash, alertando os parceiros nacionais e internacionais sobre a campanha em curso.
O relatório afirma que um agente de ameaça conhecido como Kimsuky está enviando e-mails convincentes que contêm imagens com códigos QR. Como as imagens são mais difíceis de digitalizar e identificar como maliciosas, os e-mails contornam as proteções com mais facilidade e acabam nas caixas de entrada das pessoas.
Roubando tokens de sessão e credenciais de login
O FBI disse que os computadores corporativos são geralmente bem protegidos, mas os códigos QR são mais facilmente escaneados com telefones celulares – dispositivos não gerenciados que vão além do escopo do Endpoint Detection and Response (EDR) e da inspeção de rede. Isso também aumenta a probabilidade de o ataque ter sucesso.
Quando a vítima verifica o código, ele é enviado por meio de uma variedade de redirecionamentos que contêm diferentes informações e atributos de identidade, como agente do usuário, sistema operacional, endereço IP, localização e tamanho da tela. Esses dados são usados para registrar a vítima em uma página personalizada de coleta de credenciais, substituindo os portais Microsoft 365, Okta ou VPN.
Se a vítima não perceber o truque e tentar fazer login, as credenciais acabarão com os invasores. Além do mais, esses ataques terminam com roubo e repetição de token de sessão, e os atores da ameaça podem ignorar a autenticação multifator (MFA) e sequestrar contas na nuvem sem acionar o alerta usual de “falha na MFA”.
“Os adversários então estabelecem persistência na organização e implantam spearphishing secundário a partir da caixa de correio comprometida”, disse o FBI. “Como o caminho do comprometimento está além dos limites da Detecção e Resposta de Endpoint (EDR) e da inspeção de rede além dos dispositivos móveis não gerenciados, o quishing agora é considerado um vetor de penetração de identidade de alta confiança e resistente a MFA em ambientes corporativos.”
Para se defender contra ataques avançados de Kimsuky, o FBI recomenda uma estratégia de segurança “multicamadas” que inclui educação dos funcionários, estabelecimento de protocolos claros para relatar códigos QR suspeitos, gerenciamento de dispositivos móveis (MDM) capaz de analisar URLs vinculados a QR e muito mais.
Através Notícias sobre hackers
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
