Um grupo de cibercriminosos, identificado como Storm-2657, está a levar a cabo uma campanha de ataques direcionados a funcionários de universidades nos Estados Unidos, com o objetivo de desviar os seus salários. A tática, apelidada de "pirataria de salários" ("payroll pirate"), tem sido observada desde março de 2025 e explora falhas na segurança das contas dos utilizadores.
Os analistas da Microsoft Threat Intelligence, que detetaram a campanha, referem que os atacantes têm como alvo principal as contas da plataforma de recursos humanos Workday, embora outros serviços semelhantes possam estar em risco. O problema não reside numa vulnerabilidade da plataforma, mas sim na ausência de métodos de autenticação robustos por parte dos utilizadores.
O método sofisticado para contornar a segurança
Os atacantes utilizam táticas de engenharia social altamente personalizadas. Os emails de phishing são adaptados a cada alvo, com temas que vão desde alertas sobre surtos de doenças no campus a relatórios de má conduta de professores, passando por falsos documentos partilhados pelos recursos humanos ou comunicados em nome do reitor da universidade.
Estes emails contêm links maliciosos que utilizam técnicas de "adversary-in-the-middle" (AITM) para roubar não só as credenciais de acesso, mas também os códigos de autenticação multifator (MFA). A Microsoft sublinha que os ataques têm sucesso devido à "total ausência de autenticação multifator ou à falta de uma MFA resistente a phishing".
Como os atacantes desviam os pagamentos
Uma vez obtido o acesso à conta de email Exchange Online da vítima, os cibercriminosos estabelecem regras na caixa de entrada para apagar automaticamente as notificações de aviso da Workday. Este passo é crucial para ocultarem as suas ações posteriores.
Com o acesso ao email garantido, os atacantes usam o sistema de single sign-on (SSO) para entrar nos perfis Workday das vítimas. Aí, alteram as configurações de pagamento de salários, redirecionando os fundos para contas bancárias sob o seu controlo. Para garantir persistência, chegam a registar os seus próprios números de telemóvel como dispositivos de MFA, o que lhes permite aprovar futuras ações maliciosas.
O alerta da Microsoft e a dimensão do problema
Segundo o relatório, foram observadas 11 contas comprometidas com sucesso em três universidades, que foram depois utilizadas para enviar emails de phishing a quase 6.000 contas de email em 25 outras universidades, amplificando o alcance do ciberataque.
Este tipo de fraude é uma variante dos ataques de Business Email Compromise (BEC), que visam empresas e indivíduos que realizam transferências bancárias. Em 2024, o Centro de Denúncias de Crimes na Internet (IC3) do FBI registou mais de 21.000 queixas de fraudes BEC, resultando em perdas superiores a 2,7 mil milhões de dólares, o que o torna um dos crimes mais lucrativos. A Microsoft já notificou os clientes afetados e reforça a necessidade de implementar uma segurança robusta, nomeadamente através de MFA resistente a phishing, para bloquear este tipo de ameaças.
Nenhum comentário
Seja o primeiro!