Cibercriminosos da Rússia lançaram mais uma campanha hacker bem-sucedida. Os usuários recebem convites falsos de reuniões no WhatsApp, Signal ou Teams, permitindo que os hackers entrem nas suas contas durante a tentativa de login.
O Centro de Inteligência em Ameaças da Microsoft alerta que essa técnica de phishing – chamada de “phishing de código de dispositivo” – já está ativa desde agosto de 2024. Hackers aliados à Rússia estão comprometendo, com sucesso, governos, ONGs e uma ampla gama de segmentos empresariais em múltiplas regiões.
Nesse sentido, os usuários devem ficar atentos a convites individuais fraudulentos de reunião, que podem ser praticamente iguais aos legítimos.
“Os hackers exploram o fluxo de autenticação de código do dispositivo para capturar os tokens de autenticação, que são utilizados para acessar as contas e ganhar acesso aos dados e outros serviços associados”, afirmou a Microsoft.
Vale destacar que os hackers estão explorando a autenticação em dispositivos com restrição de entrada, a exemplo de TVs, consoles de jogos e outros. Eles permitem que os usuários concluam a autenticação em um outro dispositivo. Por exemplo: um aplicativo em uma TV gera um código temporário e pede que os usuários o insiram em um site específico para concluir o registro.
Como funciona o ataque?
1. Os hackers investem um tempo considerável para criar relacionamentos antes de enviar convites para reunião, como na troca de mensagens a seguir:
Fonte: Cybernews
2. É então gerado um código de autenticação válido em uma página de login real (por exemplo, a Microsoft), que vincula o código ao dispositivo do hacker;
3. Os hackers então enviam o código obtido para a vítima em um e-mail de phishing, que pode ser extremamente parecido com um convite comum do Microsoft Teams:
Fonte: Cybernews
4. Se a vítima abre o link, a tela de login aparece. Caso o usuário entre com seu código e conclua a autenticação, o dispositivo do hacker ganha acesso à conta e aos dados (ou seja, recebe o token de autenticação).
➡️É importante ressaltar que os cibercriminosos usam esses tokens de autenticação conquistados para ganhar acesso ao armazenamento na nuvem, e-mails e outros serviços sem a necessidade de senha. E é ainda mais grave: eles conseguem manter o acesso por um longo tempo.
De fato, segundo a Microsoft, “os hackers continuam a ter acesso enquanto os tokens permanecerem válidos. O cibercriminoso pode então usar o token válido para se movimentar lateralmente no ambiente (da vítima)”.
Hackers buscam palavras-chave para roubar informações
Outro ponto digno de nota é que os hackers vasculham as mensagens das vítimas buscando palavras-chave como “nome de usuário”, “senha”, “administrador”, “TeamViewer”, “credenciais”, “segredo”, “ministério” ou “governo” para roubar dados confidenciais.
A Microsoft intitulou o autor do cibercrime “Storm-2372”. Suspeita-se que seja um hacker que trabalha em prol dos interesses do estado russo.
A Microsoft recomenda bloquear a autenticação do código do dispositivo sempre que possível.
Com informações de: Cybernews
Imagem: Freepik
