Campanha de phishing mira empresas globais com domínios falsos do Microsoft Teams

Descoberta foi relatada pela equipe de inteligência de ameaças da companhia nessa quarta-feira (2). De acordo com o informe, os ciberatacantes comprometeram domínios do Teams de empresas pequenas para promover ações de spear phishing se passando por entidades de suporte técnico

Compartilhar:

O setor de Threat Intelligence da Microsoft informou nessa quarta-feira (2) que identificou uma extensa campanha de spear phishing mirando roubo de credenciais e acessos de MFA, enviados como chats falsos pelo Microsoft Teams. A operação estaria sendo executada pelo agente hostil identificado como Midnight Blizzard, baseado na Rússia e supostamente ligado ao Serviço de Inteligência Estrangeira do país.

Em comunicado no blog da corporação, a Microsoft informou ter interrompido o uso desses domínios comprometidos e agora segue na investigação sobre os métodos adotados e no trabalho de contenção das consequências. Além disso, a Big Tech também já notificou os clientes comprometidos e visados pelo incidente, fornecendo todo o suporte de proteção.

Nessa atividade, o agente usa locatários do Microsoft 365 previamente comprometidos, pertencentes a pequenas empresas, para criar domínios que aparecem como entidades de suporte técnico. Usando esses domínios, ele aproveita as mensagens do Teams e envia iscas de roubo de credenciais às organizações-alvo, abordando usuários e solicitando a aprovação de prompts de autenticação multifator (MFA).

A investigação atual da Microsoft detectou cerca de 40 organizações globais afetadas pela nova campanha de phishing. Segundo a companhia, as organizações visadas pelos cibercriminosos indicam objetivos específicos de espionagem direcionados a governos, ONGs, setores de mídia e serviços de TI. Essa abordagem é bastante comum dentro do rol de atividades do Midnight Blizzard.

“O foco desse agente hostil é coletar inteligência por meio de espionagem de longa data e dedicada a interesses estrangeiros que podem ser rastreados desde o início de 2018. Suas operações geralmente envolvem o comprometimento de contas válidas e, em alguns casos altamente direcionados, técnicas de comprometimento dos mecanismos de autenticação para expandir o acesso e evitar a detecção”, seguiu a nota.

Diante do risco dessa ameaça, a empresa listou uma série de propostas de atenuações, de forma a evitar os problemas decorrentes desse incidente. Entre as orientações, foram citadas a implementação de critérios mais rígidos de acesso e autenticação, especialmente envolvendo aplicações críticas, além de manter usuários instruídos sobre métodos de engenharia social e boas práticas de proteção aplicadas pela Cibersegurança.

“Como acontece com qualquer nova descoberta de engenharia social, solicitamos às organizações usuárias do Teams, afetadas ou não, intensificar as práticas recomendadas de Segurança para todos os usuários e reforçar que qualquer solicitação de autenticação não iniciada pelo usuário deve ser tratada como maliciosa”, encerra o posicionamento.


Conteúdos Relacionados

Security Report | Destaques

Security Leaders Fortaleza: IA & SI, liderança, maturidade e fator humano estão em destaque

A programação 100% presencial do evento contará com presença de líderes locais em painéis de debate, visando discutir as principais...
Security Report | Destaques

Segurança otimizada de Nuvem: Como equilibrar custos e proteção eficiente?

Um dos principais desafios do gerenciamento de ambientes de nuvem é controlar os custos sem comprometer a eficiência da operação....
Security Report | Destaques

Ataques de ransomware crescem 51% na América Latina, alerta relatório

Seguindo tendência contrária a outras partes do mundo, o cenário de ataques expandiu-se na região, movido especialmente por maior cooperação...
Security Report | Destaques

84% dos Líderes de SI relatam o estresse como ameaça à proteção de dados e sistemas

Além disso, o mesmo percentual afirma ouvir de suas organizações que o esgotamento é parte natural dos profissionais de Segurança...