Um sofisticado kit de ferramentas de phishing conhecido como Evilginx está capacitando os invasores a executar campanhas avançadas de ataque intermediário (AiTM) com sucesso alarmante.
Esses ataques são projetados para roubar cookies de sessão temporária, permitindo que os agentes da ameaça contornem a camada crítica de segurança fornecida pela autenticação multifator (MFA).
Tem-se observado um aumento preocupante deste método, com um impacto notável nas instituições de ensino, que estão agora frequentemente na mira.
A base da ameaça é a sua capacidade de sequestrar a sessão autenticada de um usuário, neutralizando efetivamente a proteção do MFA após o login inicial.
Evilginx funciona inserindo-se como um proxy transparente entre um usuário desavisado e um site legítimo.
Depois que um usuário clica em um link malicioso especialmente criado, ele é direcionado para uma página de phishing que reflete perfeitamente o site autêntico.
Essa configuração de proxy retransmite o processo de login genuíno, capturando o nome de usuário e a senha da vítima em tempo real.
De forma crítica, uma vez que o usuário valida sua identidade com um token MFA, a ferramenta intercepta o cookie de sessão emitido pelo serviço para reconhecer e confiar no navegador para a sessão em andamento.
As implicações deste roubo de cookies são significativas. Ao simplesmente reproduzir o cookie de sessão roubado, um invasor pode personificar perfeitamente o usuário autenticado, sem precisar fornecer credenciais ou um código MFA novamente.
Os pesquisadores de segurança da Malwarebytes identificaram que isso concede ao invasor acesso irrestrito à conta comprometida. Isso lhes permite ler e-mails confidenciais, modificar configurações críticas de segurança ou exfiltrar dados pessoais e financeiros confidenciais.
Como a sessão sequestrada já foi verificada, as atividades maliciosas do invasor muitas vezes não conseguem acionar mais avisos de segurança, permitindo que operem secretamente.
Um fluxo de ataque enganoso e evasivo
O sucesso dos ataques do Evilginx está enraizado no seu profundo engano. As páginas de phishing controladas pelo invasor não são meras falsificações estáticas; eles são proxies ativos que veiculam o conteúdo real do site, geralmente completo com um certificado de segurança TLS válido.
Essa tática neutraliza efetivamente as orientações de segurança comuns, como a verificação do ícone de cadeado do navegador.
Para evitar ainda mais a detecção, os invasores geralmente implantam links de phishing com vida útil muito curta, garantindo que desapareçam antes de serem catalogados em listas de bloqueio de segurança.
Isto força as ferramentas de segurança a confiarem na análise comportamental, que nem sempre é suficiente para detectar todos os ataques, colocando um fardo pesado na sensibilização do utilizador para detectar a isca inicial de phishing.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
