Surgiu uma nova campanha de phishing que transforma os convites de usuários convidados do Microsoft Entra em uma arma para enganar os destinatários, fazendo-os fazer ligações para invasores que se passam por suporte da Microsoft.
O ataque aproveita uma lacuna crítica de segurança na forma como o Microsoft Entra se comunica com usuários externos, transformando um recurso de colaboração legítimo em um mecanismo de entrega para ataques sofisticados de engenharia social.
Esta campanha representa uma evolução nas táticas TOAD (Telephone Oriented Attack Delivery), combinando sistemas de credenciais baseados em nuvem com golpes tradicionais baseados em telefone para comprometer a segurança organizacional.
Michael Taggart, analista e pesquisador de segurança, identificou esse novo vetor de ataque depois de descobrir diversas campanhas de phishing que exploravam o sistema de convite de convidados.
A campanha de malware usa convites de locatários do Microsoft Entra enviados do endereço legítimo convites@microsoft(.)com para ignorar filtros de e-mail e estabelecer confiança com os alvos.
Os invasores registram locatários organizacionais falsos com nomes como “Equipe de espaço de trabalho unificado”, “CloudSync” e “Serviços avançados de suíte” para se passar por entidades legítimas da Microsoft.
A cadeia de ataque demonstra uma coordenação sofisticada entre o abuso da infraestrutura em nuvem e a engenharia social.
Assim que os destinatários recebem o e-mail de convite, eles encontram uma mensagem convincente afirmando que seu plano anual do Microsoft 365 requer processamento de renovação, completo com detalhes de transação fabricados, incluindo números de referência, IDs de clientes e valores de cobrança de aproximadamente US$ 446,46.
A mensagem instrui os usuários a entrar em contato com um número de telefone listado como Suporte de cobrança da Microsoft, que na verdade os conecta diretamente aos invasores que prosseguem com a coleta de credenciais e tentativas de controle de contas.
Evasão de detecção por meio de infraestrutura legítima
O mecanismo de infecção explora uma fraqueza fundamental no design do Entra: o campo Mensagem nos convites de usuários convidados aceita textos arbitrariamente longos, permitindo que os invasores incorporem extenso conteúdo de phishing sem acionar alertas de segurança tradicionais.
Convites de usuários do Entra Guest (Fonte – Taggart-Tech)
Como o convite tem origem na infraestrutura legítima da Microsoft, os sistemas de segurança de e-mail raramente sinalizam estas comunicações como maliciosas.
Os invasores registram vários domínios de locatários falsos, incluindo x44xfqf.onmicrosoft(.)com, woodedlif.onmicrosoft(.)com e xeyi1ba.onmicrosoft(.)com, criando uma rede de infraestrutura persistente para implantação contínua de campanha.
As organizações devem implementar medidas de detecção imediata pesquisando registros de e-mail em busca de indicadores, incluindo o endereço do remetente convites@microsoft(.)com, palavras-chave na linha de assunto como “convidou você para acessar aplicativos dentro de sua organização” e nomes de locatários de invasores conhecidos.
Os administradores de rede podem bloquear os números de telefone associados a essas campanhas enquanto educam os usuários sobre como verificar as comunicações da Microsoft por meio de canais de suporte oficiais, em vez de responder a solicitações baseadas em convites.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
