Uma nova plataforma de operações ilícitas como serviço, apelidada de VENOM, está a direcionar os seus esforços para comprometer as credenciais de executivos de topo em múltiplas indústrias. A ameaça, que se encontra ativa desde pelo menos o passado mês de novembro, foca-se especificamente em indivíduos que ocupam cargos de elevada responsabilidade, como diretores executivos, diretores financeiros ou vice-presidentes, conforme detalhado na análise partilhada pelos investigadores da Abnormal. Ao contrário de outras ferramentas do género, esta infraestrutura parece operar num regime de acesso fechado, não sendo promovida em fóruns públicos, o que ajuda a reduzir a sua exposição e a dificultar a deteção pelas equipas de cibersegurança.
A estratégia de ataque desenhada pelos piratas informáticos é altamente sofisticada e começa com o envio de mensagens de correio eletrónico que se fazem passar por notificações legítimas de partilha de documentos do Microsoft SharePoint. Para aumentar a credibilidade da investida e contornar os sistemas de defesa automatizados, os atacantes injetam código aleatório nas mensagens e criam falsos históricos de conversas adaptados ao alvo.
O salto para os dispositivos móveis através de códigos QR
Para concretizar o roubo de dados, a plataforma recorre à inclusão de um código QR gerado em formato Unicode no corpo do email. O objetivo desta técnica é contornar os mecanismos de segurança tradicionais baseados em computadores e transferir o ataque para o telemóvel da vítima. O endereço de correio eletrónico do alvo é codificado duas vezes e colocado num fragmento do endereço web, uma secção que não é transmitida nos pedidos aos servidores, tornando a identidade do alvo invisível para os registos de tráfego convencionais.
Quando a vítima digitaliza o código QR, é encaminhada para uma página de destino que atua como um filtro avançado. Este sistema consegue distinguir investigadores de segurança e ambientes de teste dos alvos reais, redirecionando os curiosos para sites legítimos. Apenas os executivos que passam nesta triagem chegam à página final de phishing, que simula em tempo real a interface de início de sessão da Microsoft. Desta forma, o sistema interceta as credenciais e os códigos de autenticação necessários para roubar o token de sessão da conta.
A vulnerabilidade das aprovações de novos equipamentos
Além do método de interceção em tempo real, a infraestrutura VENOM também tem sido observada a utilizar táticas de manipulação através de códigos de dispositivo. Neste cenário, a vítima é levada a aprovar o acesso à sua conta corporativa para um equipamento fraudulento. Esta abordagem tornou-se extremamente popular no último ano devido à sua elevada taxa de sucesso e à resiliência contra as tradicionais reposições de palavras-passe, sendo atualmente oferecida por várias ferramentas maliciosas no mercado.
Em ambos os métodos, o objetivo principal é estabelecer acesso persistente à conta durante o processo inicial. Os especialistas alertam que a tradicional autenticação de dois fatores deixou de ser uma barreira intransponível para este nível de sofisticação. Como medida de proteção, é recomendado que os altos quadros das empresas adotem métodos de autenticação baseados na norma FIDO2, desativem o fluxo de aprovação por código de dispositivo caso não seja estritamente necessário e implementem políticas de acesso condicional mais rigorosas para bloquear o abuso de tokens de sessão.
Nenhum comentário
Seja o primeiro!