Phishers enganando e-mails falsos do Dropbox para obter credenciais de login!
Uma nova campanha de phishing explorou a infraestrutura do Dropbox © Postmodern Studio/Shutterstock
Uma nova campanha de phishing usou infraestrutura legítima e contornou com êxito os protocolos de autenticação multifator (MFA).
Embora o e-mail seja há muito tempo o vetor de escolha para a condução de ataques, os hackers e suas táticas, técnicas e procedimentos (TTP) se adaptam e evoluem.
Portanto, não é surpreendente que o uso malicioso de outros serviços populares tenha se tornado o seu alvo favorito nos últimos anos, nomeadamente a plataforma.
Com mais de 700 milhões de usuários, o Dropbox se estabeleceu como um serviço líder de armazenamento em nuvem, conhecido pela simplicidade de armazenamento e compartilhamento de arquivos. Mas cada moeda tem o seu lado negativo e uma lacuna é rapidamente explorada por aqueles que as rastreiam. , que permitiu que hackers roubassem códigos de autenticação multifatorial. Eles conseguiram roubar 130 repositórios GitHub do Dropbox.
Aproveitando a infraestrutura legítima do Dropbox, os hackers usaram e-mails falsos endereçados aos seus alvos, convidando-os a baixar ou revelar informações confidenciais, como credenciais de login, sem saber.
Ataque direcionado à infraestrutura do Dropbox usando e-mails falsos e links fraudulentos
Em janeiro de 2024, a Darktrace, uma empresa britânica de segurança cibernética, identificou uma tentativa malévola de empregar o Dropbox em um esquema de phishing por meio de uma mensagem eletrônica que parecia ser benigna e originada de uma fonte válida do Dropbox. Isto ocorreu durante uma operação envolvendo pessoal de uma das organizações clientes sob a vigilância da Darktrace.
Na verdade, esses 16 usuários receberam um e-mail de ““, um endereço de e-mail legítimo usado pelo serviço de armazenamento de arquivos Dropbox. O e-mail continha um link que levava o usuário a um arquivo PDF hospedado no Dropbox, que aparentemente trazia o nome de um parceiro da organização. Este arquivo PDF continha um link suspeito para um domínio que nunca havia sido visto antes no ambiente do cliente, denominado “mmv-security[.]top”.
Foi observado pelos especialistas da Darktrace que a distinção entre e-mails malévolos ou inofensivos e aqueles enviados por serviços genuínos como o Dropbox pode ser bastante desafiador. Consequentemente, o emprego deste método revela-se altamente eficaz para escapar às medidas de segurança de e-mail e persuadir os destinatários a clicar em links nefastos.
Este e-mail foi detectado e isolado pela ferramenta de segurança de e-mail da Darktace. Porém, no dia 29 de janeiro, um usuário recebeu outro e-mail do endereço legítimo, lembrando-o de abrir o arquivo PDF compartilhado anteriormente. Embora a mensagem tenha sido movida para o arquivo indesejado do usuário, o funcionário abriu o e-mail suspeito e seguiu o link para o arquivo PDF. Alguns dias depois, o dispositivo interno conectou-se ao link malicioso mmv-security.top. Este link levava a uma página de login falsa do Microsoft 365, projetada para coletar as credenciais de titulares legítimos de contas SaaS. Os pesquisadores acrescentaram que se passar por organizações confiáveis como a Microsoft é uma forma eficaz de parecer legítimo aos olhos dos alvos.
Hanah Darley, chefe de pesquisa de ameaças da Darktrace, acrescenta que contornar a autenticação multifator (MFA) também é “uma tática frequentemente usada por invasores, principalmente porque fornece acesso a recursos compartilhados, como arquivos do SharePoint, que podem ser explorados”. Este incidente mostra que as organizações já não podem contar com a MFA como última linha de defesa contra ciberataques.
As vítimas receberam um link para uma página de login falsa do Microsoft 365 © Microsoft
Hackers cada vez mais eficazes e insistentes em ataques de phishing cada vez mais sofisticados e direcionados
Depois de ignorar a MFA, outro método é usar uma conta de e-mail comprometida para enviar e-mails corrompidos. É uma conexão suspeita que alertou os pesquisadores da Darktrace. O agente da ameaça criou então uma regra de e-mail no Outlook comprometido para enviar todos os e-mails da equipe de contabilidade para a pasta “Histórico de conversas”.
Este método visava fugir da vigilância, ocultando e-mails fraudulentos e possíveis respostas. O ator também enviou e-mails de incentivo com assuntos como “Contrato incorreto” ou “Requer revisão urgente”.
“Estes são provavelmente agentes de ameaças que utilizam a conta comprometida para enviar mais e-mails maliciosos à equipa de contas da organização para infectar outras contas no ambiente SaaS do cliente”, explicam os investigadores, acrescentando que é “relativamente simples”. para que hackers usem serviços legítimos como o Dropbox para hospedar arquivos maliciosos.
De acordo com Hanah Darley, este caso mostra como os cibercriminosos estão se tornando sofisticados na realização de ataques. Os próprios e-mails vieram de um endereço legítimo sem resposta do Dropbox, que normalmente envia avisos ou links aos clientes.
Ela também destacou a importância da IA generativa para projetar e-mails de phishing mais sofisticados. O relatório de final de ano de 2023 da Darktrace descobriu que mais de um quarto dos casos de phishing no segundo semestre de 2023 tinham mais de 1.000 caracteres, graças a.
“Estes não são e-mails de carga única com poucas palavras e um link questionável, mas sim e-mails muito elaborados e detalhados. Há também casos de engenharia social aprimorada em que os invasores entram em conversas existentes, se fazem passar por colegas ou contatos conhecidos e tentam imitar o tom da correspondência”, acrescentou ela, observando que a ajuda da IA dá aos hackers mais tempo para refinar seus ataques e realizá-los em maior escala.
Para descobrir 1º de março de 2024 às 09h08 Comparações de serviços
Fonte: Revista Infosecurity, Darktrace
*️⃣ Link da fonte: