Os cibercriminosos estão cada vez mais utilizando ferramentas legítimas de clientes HTTP para facilitar ataques de controle de contas (ATO) em ambientes Microsoft 365.
A Proofpoint, especializada em segurança corporativa, relatou a observação de campanhas que utilizam clientes HTTP como Axios e Node Fetch para enviar solicitações HTTP e receber respostas de servidores web, com o objetivo de realizar ataques ATO.
"Inicialmente provenientes de repositórios públicos como o GitHub, essas ferramentas estão sendo cada vez mais empregadas em ataques como Adversary-in-the-Middle (AitM) e em técnicas de força bruta, resultando em diversos incidentes de ATO", afirmou Anna Akselevich, pesquisadora de segurança.
O uso de clientes HTTP para ataques de força bruta é uma tendência observada desde pelo menos fevereiro de 2018. A evolução desses ataques incluiu variantes de clientes OkHttp direcionadas ao Microsoft 365 até o início de 2024.
No entanto, em março de 2024, a Proofpoint começou a observar um aumento significativo no uso de uma variedade de clientes HTTP, com ataques alcançando um novo pico, afetando 78% dos locatários do Microsoft 365 pelo menos uma vez no segundo semestre de 2024.
"Em maio de 2024, esses ataques atingiram seu ponto máximo, explorando milhões de IPs residenciais sequestrados para atacar contas na nuvem", comentou Akselevich.
A diversidade e o volume dessas tentativas de ataque são evidentes pelo uso de clientes HTTP como Axios, Go Resty, Node Fetch e Python Requests, com técnicas AitM combinadas para alcançar taxas de comprometimento mais altas.
Segundo a Proofpoint, o Axios, projetado para Node.js e navegadores, pode ser integrado a plataformas AitM, como o Evilginx, permitindo o roubo de credenciais e códigos de autenticação multifatorial (MFA).
Agentes de ameaças também foram observados criando novas regras de caixa de entrada para ocultar sinais de atividades maliciosas, roubando dados confidenciais e até registrando novos aplicativos OAuth com permissões excessivas para garantir acesso remoto persistente ao ambiente comprometido.
A campanha utilizando Axios visou principalmente alvos de alto valor, como executivos, diretores financeiros, gerentes de contas e equipes operacionais de setores como transporte, construção, finanças, TI e saúde.
Entre junho e novembro de 2024, mais de 51% das organizações-alvo foram comprometidas com sucesso, afetando 43% das contas de usuários visadas.
Além disso, a Proofpoint detectou uma grande campanha de pulverização de senhas utilizando clientes Node Fetch e Go Resys, com impressionantes 13 milhões de tentativas de login desde 9 de junho de 2024, o que resultou em uma média de 66.000 tentativas maliciosas por dia. A taxa de sucesso, no entanto, permaneceu baixa, impactando apenas 2% das entidades visadas.
Até o momento, mais de 178.000 contas de usuários em 3.000 organizações foram identificadas como alvo, com destaque para o setor educacional. As contas de usuários estudantis, frequentemente menos protegidas, são vulneráveis e podem ser usadas em outras campanhas ou vendidas a agentes de ameaças.
As ferramentas utilizadas pelos agentes de ameaças para realizar ataques ATO evoluíram consideravelmente, com vários clientes HTTP explorando APIs e realizando solicitações HTTP", afirmou Akselevich. "Essas ferramentas oferecem vantagens claras, tornando os ataques mais eficientes.
Com essa tendência, os invasores provavelmente continuarão alternando entre diferentes ferramentas de cliente HTTP, adaptando suas estratégias para tirar proveito de novas tecnologias e evitar a detecção, refletindo um padrão de evolução constante para aumentar a eficácia e reduzir a exposição.
VIVI MOREIRA – RÁDIO ROTA 220
Vivi Moreira é Compositora, Produtora, designer, toca violão, master chef nas horas vagas, idealizadora da Rádio Rota 220 e Rock Fusion Produções. Escreve sobre música e entrevista artista, produtores e jornalistas no canal do youtube e é uma amante da arte e tecnologia.
@radiorota220oficial
Nenhum comentário:
Postar um comentário