Uma nova onda de ataques cibernéticos está mirando empresas por meio de ligações falsas. Membros do grupo cibercriminoso ShinyHunters ligam diretamente para funcionários fingindo ser da equipe de TI interna e os convencem a entregar credenciais de acesso e códigos de autenticação multifatorial em tempo real.
De acordo com relatório divulgado hoje pelo Google Threat Intelligence Group e pela Mandiant, empresa de segurança cibernética, múltiplos grupos de ameaças estão usando técnicas de phishing por voz, conhecidas como vishing, combinadas com sites falsos sofisticados para roubar credenciais de login único e burlar sistemas de autenticação multifatorial.
Como funciona o golpe
A operação é coordenada e acontece em tempo real. Os agentes de ameaças se passam por funcionários de TI ou de helpdesk corporativo e ligam diretamente para os funcionários-alvo, alegando que as configurações de autenticação multifatorial precisam ser atualizadas urgentemente.
Durante a ligação, o funcionário é direcionado a um site de phishing que se assemelha perfeitamente ao portal de login de sua empresa. Segundo a Okta, esses sites estão usando kits de phishing avançados que permitem aos criminosos exibir diálogos interativos enquanto estão ao telefone com a vítima.
A parte mais sofisticada do ataque acontece quando o funcionário ainda está na linha com o falso atendente de TI.
O invasor transmite as credenciais roubadas em tempo real para outro sistema, aciona desafios legítimos de autenticação multifatorial e diz ao alvo exatamente como responder, incluindo aprovar notificações push no celular ou inserir senhas temporárias de uso único.
Isso permite que os invasores se autentiquem com sucesso usando as credenciais roubadas e registrem seus próprios dispositivos na autenticação multifatorial da vítima. Com isso, eles garantem acesso persistente mesmo depois que a ligação termina.
Acesso total aos dados em nuvem
Depois de obter acesso a uma conta comprometida, os criminosos fazem login no painel de administração de serviços como Okta, Microsoft Entra ou Google SSO da organização. Esses painéis funcionam como um documento centralizado que lista todos os aplicativos e serviços em nuvem aos quais o usuário tem permissão para acessar.
Esses aplicativos incluem Salesforce, um dos principais alvos do ShinyHunters, além de Microsoft 365, SharePoint, DocuSign, Slack, Atlassian, Dropbox, Google Drive e muitas outras plataformas internas e de terceiros.
Para agentes de ameaças focados em roubo de dados e extorsão, o painel de login único se torna um trampolim direto para os dados em nuvem de uma empresa inteira, permitindo que acessem múltiplos serviços críticos a partir de uma única conta comprometida.
A Mandiant demonstrou que eventos do Microsoft 365 e SharePoint revelam downloads de arquivos em que o User-Agent identifica o PowerShell, indicando que scripts ou ferramentas automatizadas foram usados para baixar dados em massa.
Atividades de login no Salesforce originadas de endereços IP posteriormente identificados como usados pelos agentes da ameaça também foram registradas. Registros de auditoria do DocuSign mostram downloads em massa de documentos vinculados aos mesmos indicadores de comprometimento.
Depois de conseguir acesso, os criminosos também tentam encobrir seus rastros. Usando uma ferramenta atrelada ao Google Workspace, eles tentam excluir o e-mail que notifica que foi possível atrelar a conta a outro dispositivo.
ShinyHunters não são os únicos usando a técnica
A Mandiant está rastreando essa atividade maliciosa em diferentes grupos de ameaças identificados como UNC6661, UNC6671 e UNC6240, o próprio ShinyHunters.
O grupo UNC6661 é responsável pelos ataques iniciais de invasão e roubo de dados. Eles registram seus domínios de phishing através da NICENIC e geralmente usam formatos como nomedaempresasso.com ou nomedaempresainternal.com.
No entanto, o ShinyHunters, também conhecido como UNC6240, confirmou ao BleepingComputer que seu foco principal são os dados do Salesforce.
As exigências de extorsão são enviadas pelo ShinyHunters e incluem um ID do mensageiro Tox usado por eles em tentativas de extorsão anteriores.
Já o grupo UNC6671 está usando técnicas de vishing semelhantes, mas com seus domínios de phishing registrados através da Tucows.
Ao contrário do UNC6661, as exigências de extorsão do UNC6671 não são enviadas sob o nome ShinyHunters, usam um ID Tox diferente para negociação e utilizam táticas de pressão muito mais agressivas, incluindo assédio direto ao pessoal da empresa.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nosso canal do YouTube e newsletter para mais notícias de segurança e tecnologia.