Operadores desconhecidos usaram identidades confiáveis, links de compartilhamento e regras de caixa de entrada para ampliar phishing, contornar MFA não resistente a phishing e sustentar fraude por e-mail corporativo.
| Componente | Contas corporativas, fluxos de compartilhamento do SharePoint, caixas de e-mail empresariais e identidades internas confiáveis em organizações do setor de energia. |
| Vetor | E-mails de phishing enviados a partir de endereços legítimos previamente comprometidos, com aparência de compartilhamento de documento e redirecionamento para páginas de coleta de credenciais em cenário adversary-in-the-middle. |
| Impacto | Comprometimento de contas, alterações indevidas em MFA, criação de regras suspeitas na caixa de entrada, phishing interno e externo em larga escala e atividade subsequente de BEC. |
| Prioridade | Revisar contas comprometidas, remover regras de caixa de entrada não autorizadas, reverter alterações de MFA feitas pelo invasor e priorizar MFA resistente a phishing com acesso condicional. |
| Artefatos | Em um caso, uma conta comprometida enviou mais de 600 mensagens para contatos internos e externos, seguida por exclusão de respostas de ausência e mensagens não entregues. |
| Mitigação | Aplicar avaliação contínua de acesso, monitorar URLs visitadas, inspecionar mensagens recebidas e detectar abuso de serviços confiáveis como SharePoint, OneDrive, Google Drive, AWS e Confluence. |
Uma campanha em múltiplos estágios combinou phishing adversary-in-the-middle, comprometimento de e-mail corporativo e abuso de serviços legítimos de compartilhamento para atingir organizações do setor de energia. O fluxo observado começa com uma mensagem enviada a partir de um endereço pertencente a uma organização confiável, já comprometido anteriormente. Essa origem legítima reduz a suspeita do destinatário e aumenta a chance de o link ser tratado como parte de um fluxo normal de colaboração empresarial.
O tema usado nas mensagens imita notificações de compartilhamento de documentos do SharePoint. Esse detalhe é relevante porque ambientes corporativos frequentemente dependem de SharePoint e OneDrive para troca de arquivos, aprovações, anexos substituídos por links e colaboração entre áreas. Ao usar uma plataforma conhecida como cobertura, o operador não precisa apresentar infraestrutura própria logo no primeiro contato e consegue explorar a familiaridade do usuário com portais de produtividade. A técnica se encaixa no padrão de abuso de sites confiáveis, em que serviços amplamente permitidos no ambiente passam a funcionar como ponte para coleta de credenciais ou entrega de páginas maliciosas.
Depois do acesso inicial, a campanha não ficou limitada a uma única caixa postal. Os operadores usaram identidades internas já comprometidas para enviar phishing dentro e fora da organização, criando um efeito de propagação baseado na confiança entre contatos. Em um caso documentado, mais de 600 e-mails foram enviados a contatos da vítima. A operação também incluiu criação de regras de caixa de entrada, exclusão de mensagens de erro de entrega e remoção de respostas automáticas de ausência, ações que reduzem a visibilidade do usuário legítimo sobre a atividade indevida.
O encadeamento técnico depende de três condições principais: uma conta confiável já comprometida, um destinatário que reconheça o remetente ou o serviço de compartilhamento, e um mecanismo de phishing capaz de intermediar a autenticação. No modelo adversary-in-the-middle, a vítima interage com uma página controlada pelo operador enquanto o fluxo de autenticação legítimo é espelhado ou retransmitido. Essa abordagem pode capturar material de sessão ou conduzir o usuário por etapas de autenticação de modo sincronizado, especialmente quando o fator adicional não é resistente a phishing.
A fase posterior ao comprometimento mostra características de BEC. O invasor cria ou altera regras na caixa de entrada para ocultar respostas, notificações e indícios de falha na entrega. Também há interação com destinatários que questionam a legitimidade da mensagem, seguida pela exclusão da conversa da caixa postal comprometida. Esse comportamento indica tentativa de manter o usuário real sem percepção da campanha e, ao mesmo tempo, preservar a credibilidade do remetente perante novos alvos.
O uso de serviços confiáveis não altera o impacto final, mas complica a filtragem baseada apenas em reputação de domínio. Links originados em fluxos legítimos de colaboração podem atravessar controles de e-mail com menos atrito do que anexos executáveis ou domínios recém-criados. Além disso, quando o remetente é uma conta real da cadeia de relacionamento da vítima, indicadores simples como nome de exibição, domínio da organização e histórico de contato deixam de ser suficientes para uma decisão segura.
O contexto também descreve uma evolução paralela de kits de phishing usados em vishing contra contas de Google, Microsoft, Okta e plataformas de criptomoedas. Nesses casos, o operador telefona para a vítima se passando por suporte técnico e orienta a navegação até uma URL maliciosa. Scripts no lado do cliente permitem controlar em tempo real o que aparece no navegador, acompanhando a conversa e induzindo aprovações de push ou inserção de códigos de uso único. O objetivo é vencer MFA que dependa da participação do usuário, mas que não valide criptograficamente a origem da autenticação.
A superfície exposta inclui contas corporativas com acesso a e-mail, SharePoint, OneDrive e listas de contatos internas ou externas. O risco aumenta quando uma conta comprometida pertence a usuário com amplo relacionamento com fornecedores, clientes, equipes operacionais ou áreas administrativas. No setor de energia, esse tipo de identidade pode alcançar áreas distribuídas, parceiros de campo e contatos interorganizacionais, criando um caminho eficiente para expansão da campanha sem exigir malware no endpoint.
A campanha também afeta controles de identidade que aceitam fatores de autenticação suscetíveis a intermediação social ou técnica. Push de MFA aprovado pelo usuário, códigos temporários informados em página de phishing e fluxos conduzidos por telefone podem ser manipulados quando o usuário acredita estar interagindo com suporte ou com um portal corporativo autêntico. O risco descrito não depende de exploração de vulnerabilidade em produto específico; ele nasce da combinação entre confiança operacional, sessão autenticada e engenharia social.
Outras técnicas de engano visual ampliam a superfície de phishing. URLs no formato de autenticação básica podem colocar um domínio familiar antes do caractere @, enquanto o navegador usa como destino real o domínio posicionado depois desse símbolo. Também há uso de substituições visuais como rn no lugar de m, gerando domínios defangados como rnicrosoft[.]com, rnastercard[.]de, rnarriotthotels[.]com e rnitsubishielectric[.]com. Esses exemplos demonstram que a inspeção humana rápida do começo da URL não é suficiente para validar o destino.
A exposição principal se concentra em contas com e-mail ativo, listas de contatos úteis ao operador, permissões para acessar ou compartilhar documentos e métodos de MFA que possam ser conduzidos pela vítima durante um fluxo fraudulento.
- Caixas de e-mail com regras novas, incomuns ou criadas logo após autenticações suspeitas.
- Contas que enviaram volume anormal de mensagens com links de compartilhamento para destinatários internos e externos.
- Usuários que tiveram alterações recentes em configurações de MFA sem solicitação legítima comprovada.
- Ambientes que permitem SharePoint, OneDrive e outros serviços confiáveis sem inspeção contextual de URL, remetente e comportamento.
A investigação deve começar pela correlação entre autenticação, alteração de configuração e atividade de e-mail. Sinais fortes incluem login incomum seguido por criação de regras de caixa de entrada, envio massivo de mensagens, exclusão de respostas automáticas e remoção de notificações de erro. A sequência temporal é importante: uma regra isolada pode parecer administrativa, mas uma regra criada após autenticação anômala e antes de uma onda de mensagens para contatos externos deve ser tratada como indicador de comprometimento.
Em telemetria de identidade, procure alterações em métodos de MFA, re-registro de fatores, aprovações de push fora do padrão e uso de sessão a partir de localização, dispositivo ou navegador atípico. Em ambientes com avaliação contínua de acesso, eventos de risco de sessão devem ser comparados com logs de e-mail e acesso a arquivos. A detecção melhora quando o time cruza remetente legítimo, assunto relacionado a compartilhamento, link para serviço permitido e comportamento posterior da conta.
No e-mail, a análise deve separar mensagens legítimas de colaboração de campanhas que usam a mesma aparência. Volume incomum, destinatários que não costumam receber documentos daquele usuário, envio para contatos externos em sequência e respostas apagadas são sinais mais úteis do que bloquear genericamente domínios de produtividade. No navegador e no proxy, procure redirecionamentos encadeados a partir de serviços conhecidos para páginas de coleta de credenciais, bem como URLs com caractere @ em posição suspeita ou nomes de domínio visualmente semelhantes a marcas conhecidas.
- Criação de regras de caixa de entrada para mover, ocultar ou excluir mensagens relacionadas a falha de entrega, ausência automática ou respostas de destinatários.
- Envio de centenas de e-mails por uma conta que normalmente tem volume menor ou destinatários menos diversos.
- Mudanças de MFA, novos fatores ou aprovações realizadas próximas a uma autenticação incomum.
- Links com domínio confiável usado como parte visual antes de
@, enquanto o destino real aparece depois do símbolo. - Domínios com troca visual de
mporrnem nomes associados a marcas, subdomínios ou termos corporativos comuns.
A resposta deve priorizar contenção de identidade antes de limpeza superficial da caixa postal. Contas suspeitas precisam ter sessões revogadas, métodos de MFA revisados e alterações feitas pelo operador revertidas. Regras de caixa de entrada criadas sem justificativa devem ser removidas e preservadas como evidência antes da exclusão operacional. Quando houver envio massivo, os destinatários internos devem ser alertados por canal separado, e mensagens ainda presentes no ambiente devem ser localizadas e retiradas das caixas.
A mitigação estrutural depende de MFA resistente a phishing e políticas de acesso condicional. Métodos baseados em confirmação humana sem vinculação forte ao domínio autenticado continuam expostos a AitM e vishing. Controles de identidade devem avaliar risco de sessão continuamente, exigir dispositivos gerenciados quando aplicável e interromper acesso quando surgirem sinais de token, localização ou comportamento incompatíveis com o perfil do usuário.
Controles de e-mail e navegação devem tratar serviços confiáveis como possíveis intermediários, não como garantia automática de segurança. Isso exige inspeção de URLs finais, análise de redirecionamento, detecção de padrões de autenticação básica enganosa e correlação com reputação, idade e similaridade visual de domínios. Para equipes de segurança, o ponto operacional é reduzir a dependência de decisão visual do usuário e aumentar a detecção comportamental sobre contas internas que passam a agir como origem de phishing.
Depois da contenção, a organização deve revisar escopo: mensagens enviadas, contatos alcançados, documentos acessados, sessões ativas, alterações de autenticação e regras persistentes. Quando a campanha envolve parceiros ou destinatários externos, a comunicação deve ser objetiva e incluir o período de atividade, a conta remetente e a recomendação de não interagir com links recebidos no intervalo investigado.
- Revogar sessões ativas e revalidar todos os métodos de MFA das contas afetadas.
- Remover regras de caixa de entrada suspeitas e verificar se há exclusão automática de respostas, erros de entrega ou mensagens de ausência.
- Implantar ou priorizar MFA resistente a phishing para contas com acesso a e-mail, documentos e contatos sensíveis.
- Ativar acesso condicional e avaliação contínua de acesso para reduzir permanência de sessões após mudança de risco.
- Monitorar abuso de serviços confiáveis e validar o destino real de URLs antes da entrega ao usuário.
- Treinar equipes de suporte e usuários visados para reconhecer vishing que sincroniza instruções telefônicas com páginas de autenticação fraudulentas.
0 Comentários