ARToken permite roubo de login do Microsoft 365

ARToken permite roubo de login do Microsoft 365. O painel de phishing do Microsoft 365 usa o fluxo de código de dispositivo OAuth para capturar tokens e manter o acesso.

Um painel de phishing recém-descoberto, chamado ARToken, está oferecendo aos cibercriminosos uma maneira fácil de roubar sessões de login do Microsoft 365 sem precisar tocar em uma senha.

A ferramenta funciona explorando uma funcionalidade legítima de login da Microsoft destinada a dispositivos sem teclado ou navegador, enganando as vítimas para que aprovem o login em nome do atacante.

Assim que essa aprovação ocorre, o atacante obtém um token de sessão funcional, sem a necessidade de autenticação de dois fatores.

O que diferencia o ARToken não é apenas o roubo em si, mas o que acontece depois. O painel oferece aos criminosos um conjunto de ferramentas com mais de oitenta funções, que abrangem desde a atualização de tokens roubados até a leitura completa da caixa de entrada de e-mails da vítima.

Oferece até mesmo ferramentas para navegar e baixar arquivos do SharePoint e do OneDrive, transformando um único login roubado em uma porta de entrada para comprometimentos mais profundos.

Em um relatório compartilhado com o Cyber ​​Security News (CSN), a Cisco Talos afirmou ter identificado o painel durante uma investigação sobre infraestrutura de phishing relacionada a um caso de resposta a incidentes, e rastreado seu código até um painel de gerenciamento em tempo real que expunha publicamente todo o seu conjunto de ferramentas.

O painel compartilha infraestrutura, padrões de codificação e comandos de backend idênticos com o EvilTokens, uma plataforma de phishing como serviço documentada no início deste ano por pesquisadores da Sekoia e posteriormente confirmada pela Microsoft como uma ameaça em larga escala.

Quando a Microsoft reconheceu a dimensão desses ataques de código em dispositivos, os pesquisadores já haviam rastreado aproximadamente 500 domínios do Cloudflare Workers e mais de 2.000 páginas de phishing ligadas à operação mais ampla do EvilTokens.

Os afiliados visavam funcionários das áreas financeira, de recursos humanos e de logística em diversas regiões, frequentemente utilizando mensagens geradas por IA e personalizadas para cada vítima.

A ARToken parece ser uma ramificação reformulada ou intimamente relacionada desse mesmo ecossistema criminoso, criada para afiliados que desejam uma interface mais sofisticada e ferramentas mais robustas para lidar com violações de segurança.

O painel de phishing do Microsoft 365 usa o fluxo de código de dispositivo OAuth.

O ataque geralmente começa com um e-mail convincente que se faz passar por um contato real de um fornecedor, em vez de inventar uma empresa falsa do zero.

Em um dos casos analisados ​​pelos pesquisadores, a mensagem falsificava o contato do departamento de contas a pagar de uma empresa contratada legítima e direcionava o destinatário para o que parecia ser um link genuíno para um arquivo do SharePoint relacionado a uma fatura em aberto.

O texto do link visível apontava para o tenant SharePoint real do fornecedor, mas o destino real redirecionava silenciosamente para um espaço de trabalho quase idêntico, controlado pelo atacante.

Como o link ainda direcionava para um endereço sharepoint.com legítimo, ele transmitia a confiança normalmente associada a essa plataforma, o que ajudou a burlar os filtros de spam e a enganar leitores cautelosos.

Ao clicar, a vítima é direcionada para uma página de login falsa de um dispositivo Microsoft , mostrada abaixo na própria interface do painel.

Página de login do ARToken (Fonte - Cisco Talos)
Página de login do ARToken (Fonte – Cisco Talos)

Em seguida, o kit exibe um código do dispositivo e pede ao usuário que o insira na página real microsoft.com/devicelogin, uma etapa que parece rotineira para qualquer pessoa que já tenha configurado uma smart TV ou um aplicativo de streaming.

Após o login, o sistema captura silenciosamente um token de acesso válido sem solicitar uma senha.

Mecanismos integrados de evasão e persistência

Antes que qualquer coisa disso aconteça, o kit de phishing executa um processo de triagem de sete camadas, projetado para filtrar scanners de segurança e bots automatizados.

Ele verifica as impressões digitais do navegador, observa os movimentos naturais do mouse e espera quase um segundo inteiro antes de ativar, numa tentativa de convencer a página de que está lidando com um humano real.

O token roubado em si é apenas o começo. O ARToken pode ampliar esse acesso inicial para uma credencial de maior duração, conhecida como token de atualização primário, que continua funcionando mesmo depois que a vítima altera sua senha.

Lógica de verificação humana (Fonte - Cisco Talos)
Lógica de verificação humana (Fonte – Cisco Talos)

Essa escolha de design diferencia esse ataque dos métodos de phishing mais antigos, já que uma redefinição de senha normal impediria o acesso do invasor.

A partir daí, os operadores podem ler toda a caixa de entrada de e-mail da vítima, enviar mensagens que parecem vir da conta comprometida e criar silenciosamente regras na caixa de entrada que ocultam ou encaminham evidências da intrusão.

As equipes de segurança devem tratar solicitações inesperadas de códigos de dispositivos com suspeita e confirmar pedidos incomuns de faturas ou documentos por meio de um canal separado e confiável antes de agir.

Indicadores de Compromisso (IoCs):-

TipoIndicadorDescrição
Domíniodashboard-bl.pamconj[.]comPainel de gerenciamento ARToken hospedando o painel de controle do operador baseado em React. 
Domíniospx.pamconj[.]comEndpoint da API de comando e controle para o kit de phishing ARToken 
Domínioclear90489058903-document.workers[.]devConta do Cloudflare Workers usada para implantar iscas de phishing. 
URLhttps[:]//mononapfp.sharepoint[.]com/:f:/document/INV-IgCx1X50pgUjR7iAjZL2fuQaAW4GfKVs6wHT3BYv9sgwW7gLink âncora visível disfarçado de locatário SharePoint legítimo do fornecedor 
URLhttps[:]//mononapfpcom.sharepoint[.]com/:f:/g/IgAdH_aaBPMcQbtINZzC1TsLARj3dHj63MnKjvnY-QJrKEcInquilino do SharePoint controlado pelo atacante, usado para redirecionamento. 
Arquivoencanador.pngA imagem da assinatura embutida em e-mails de phishing é usada para criar mutações de conteúdo. 
Identificador84eb384d-cd3e-4c90-a283-c960ce557913UUID do operador embutido usado em chamadas de API de código de dispositivo 
Chave de armazenamentoartoken_jwtA chave do LocalStorage foi usada para roubar tokens JWT existentes para correlação de sessão. 

Nota:  Os endereços IP e domínios são intencionalmente desativados (por exemplo, `example.com`  [.]) para evitar resolução acidental ou criação de hiperlinks. Reative-os somente em plataformas de inteligência contra ameaças controladas, como MISP, VirusTotal ou seu SIEM .

Fonte: CyberSecurityNews

 

Clique e fale com representante oficial Netwrix Endpoint Protector

Veja também:

About mindsecblog 3648 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Be the first to comment

Deixe sua opinião!