Amazon interrompe campanha maliciosa que mirava usuários do Microsoft 365

A Amazon revelou na última sexta-feira (29) a interrupção de uma grande campanha maliciosa que tinha como alvo as contas de usuários do Microsoft 365. A ação era conduzida pelo APT29, grupo de cibercriminosos associado ao serviço de inteligência da Rússia, conhecido pela utilização de táticas sofisticadas.

Segundo a gigante da tecnologia, o ataque cibernético objetivava o acesso aos perfis e dados de assinantes da plataforma da Microsoft, induzindo-os a autorizar dispositivos controlados pelos invasores. A operação seguia o mesmo padrão de atividade observado em uma campanha identificada em outubro do ano passado.

Como os hackers russos agiam neste ciberataque?

Também conhecido como Midnight Blizzard, o grupo russo realizava um ataque do tipo “watering hole”, no qual sites legítimos acessados com frequência por um determinado tipo de usuário são comprometidos. A partir daí, eles redirecionavam os alvos para a infraestrutura maliciosa.

• Neste caso, o APT29 injetou scripts em páginas reais para levar as vítimas selecionadas até sites de verificação da Cloudflare fraudulentos;
• O redirecionamento afetava cerca de 10% dos visitantes e havia um sistema baseado em cookies para evitar que a mesma pessoa passasse várias vezes pelo processo, o que levantaria suspeitas;
• Em seguida, os invasores induziam a vítima a digitar um código de autenticação gerado por eles próprios, autorizando o acesso à conta por meio do dispositivo controlado pelo grupo;
• A funcionalidade explorada é a mesma utilizada para efetuar login em TVs e consoles de maneira fácil por meio de um código de autenticação.

Aproveitando o método altamente eficaz e que não despertava suspeitas na vítima, os cibercriminosos conseguiam acessar dados sigilosos armazenados em serviços do Microsoft 365, bem como emails e outras informações sensíveis guardadas ali. Os alvos principais eram usuários corporativos.

Conforme a Amazon, os invasores ainda tentaram mover sua infraestrutura para outro serviço na nuvem e até criaram novos sites falsos de verificação da Cloudflare para continuar enganando as vítimas. No entanto, a equipe de segurança da companhia conseguiu rastreá-los mais uma vez, interrompendo a operação.

O ataque mais recente do APT29 demonstra que as ameaças virtuais estão mais avançadas no roubo de senhas e na espionagem, como observou a Amazon. Dessa forma, a empresa recomenda que os usuários redobrem a atenção em relação aos redirecionamentos suspeitos, especialmente os disfarçados de páginas de verificação de segurança.

Fonte: https://www.tecmundo.com.br/seguranca/406738-amazon-interrompe-campanha-maliciosa-que-mirava-usuarios-do-microsoft-365.htm