O FBI está alertando que uma nova plataforma de hacking está permitindo que cibercriminosos sequestrem contas do Microsoft 365 – incluindo Outlook, Teams e OneDrive – ignorando totalmente a autenticação multifator.
A agência publicou um anúncio de serviço público na semana passada soando o alarme sobre o kit de ferramentas “Phishing-as-a-Service” conhecido como Kali365, que está sendo usado para roubar tokens de acesso do Microsoft 365 e obter acesso às contas das vítimas sem interceptar senhas.
Os federais dizem que o Kali365 torna mais fácil até mesmo para hackers amadores executarem golpes de phishing avançados que costumavam exigir habilidades técnicas sérias.
O FBI está alertando que os cibercriminosos estão usando uma nova plataforma de phishing chamada Kali365 para sequestrar contas do Microsoft 365 e ignorar a autenticação multifator. Shutterstock / Estúdio Minerva
“O Kali365 reduz a barreira de entrada, fornecendo aos invasores menos técnicos acesso a iscas de phishing geradas por IA, modelos de campanha automatizados, painéis de rastreamento de indivíduos/entidades direcionados em tempo real e recursos de captura de token OAuth”, alertou o FBI.
O explora o sistema legítimo de autenticação de “código de dispositivo” OAuth 2.0 da Microsoft – um recurso comumente usado para fazer login em smart TVs, dispositivos de streaming e outros hardwares com teclados limitados.
Em vez de roubar senhas diretamente, os invasores enganam as vítimas para que insiram um código em uma página de login real da Microsoft, autorizando inadvertidamente o dispositivo do hacker.
“O fluxo de código do dispositivo é um método de autenticação legítimo que está sendo ativamente explorado por cibercriminosos para contornar a autenticação multifatorial”, disse o FBI em seu comunicado.
“Ao enganar os usuários para que insiram um código de dispositivo em uma página legítima da Microsoft, os invasores podem obter acesso persistente às contas sem precisar das credenciais do usuário.”
As vítimas recebem e-mails de phishing se passando por serviços como SharePoint, OneDrive ou Microsoft Teams.
Os invasores que usam o kit de ferramentas de phishing Kali365 podem obter acesso de longo prazo às contas do Outlook, Teams e OneDrive. picsmart – stock.adobe.com
Os e-mails instruem os alvos a visitar a página de login do dispositivo legítimo da Microsoft e inserir um código de autenticação de curta duração.
Depois que a vítima conclui o processo e passa nas verificações de MFA, a Microsoft emite acesso OAuth válido e tokens de atualização diretamente ao invasor.
Isso permite que hackers acessem caixas de entrada do Outlook, contas do Teams e arquivos armazenados na nuvem sem precisar da senha da vítima novamente.
O FBI alertou que os invasores podem manter acesso persistente às contas até que os tokens roubados sejam revogados manualmente.
Investigadores federais alertaram que as vítimas estão sendo enganadas para autorizar hackers por meio de páginas legítimas de login de dispositivos da Microsoft. FellowNeko – stock.adobe.com
Pesquisadores de segurança cibernética dizem que o surgimento do Kali365 marca uma grande escalada na crescente economia subterrânea do “phishing como serviço”, onde ferramentas de ataque sofisticadas são vendidas a criminosos pouco qualificados por meio de serviços de assinatura no Telegram e em fóruns da dark web.
A agência disse que o Kali365 foi observado pela primeira vez no mês passado e se espalhou rapidamente entre grupos cibercriminosos.
A plataforma automatiza campanhas de phishing e fornece painéis que permitem aos invasores monitorar as vítimas em tempo real.
As autoridades federais disseram que a operação faz parte de uma onda mais ampla de ataques visando ambientes Microsoft 365 em todo o mundo.
Scattered Spider, também conhecido como Octo Tempest, é um notório grupo de crimes cibernéticos de língua inglesa, conhecido por engenharia social agressiva e ataques de troca de SIM direcionados a grandes corporações.
Outra entidade, Storm-2949, concentrou-se em comprometer administradores de TI e executivos seniores através do abuso de sistemas de redefinição de senhas da Microsoft e ferramentas de autenticação em nuvem.
O Post solicitou comentários da Microsoft.