Microsoft alerta para ataque que pode espionar e-mails

A Microsoft alertou seus usuários sobre uma onda de ataques focada na leitura e roubo de informações e credenciais por meio de e-mails. Os principais alvos, como normalmente acontece, são os usuários corporativos assinantes do pacote Office 365, com um abuso do sistema de autorização de aplicativos servindo para garantir acesso à caixa de entrada aos criminosos.

• Arquivos do PowerPoint são isca de nova campanha de roubo de dados
• Quais serão as principais ameaças em cibersegurança em 2022

Ao obter tais autorizações, os bandidos passam a ler os e-mails e entradas de calendário, em busca de credenciais, confirmações de autenticação em duas etapas e outras informações sensíveis. Ao mesmo tempo, uma varredura da lista de contatos também é realizada, com a exploração, ainda, permitindo a criação de regras, acesso ao calendário e até a possibilidade de escrever mensagens em nome da vítima.

Do outro lado, o comprometimento acontece a partir de um aplicativo malicioso, que também pode chegar a partir de contas fraudadas ou por mensagens ou e-mails de phishing mais tradicionais. Segundo a Microsoft, a solicitação vem disfarçada de uma atualização chamada Upgrade para os serviços do Office 365, com o usuário tendo de conceder permissões ao aplicativo fraudulento, que passa a ter acesso completo caso seja autorizado.

De acordo com o alerta da Microsoft, o segredo da exploração está no mau uso do protocolo OAuth, que é usado por serviços online de terceiros para acesso a dados, informações de conta e demais métricas necessárias para funcionamento. Nesse caso, as credenciais de acesso efetivas não são compartilhadas, mas há perigo ainda assim, devido à possibilidade concedida de leitura de mensagens que podem trazer tais registros e tantos outros, igualmente sensíveis.

O temor principal é quanto à persistência, já que golpes desse tipo garantem que os atacantes tenham acesso direto aos sistemas enquanto não forem detectados. Com isso, podem permanecer vigilantes quanto à troca de dados sensíveis ou se prepararem para ataques maiores a partir dos e-mails, seja invadindo contas e interceptando e-mails de confirmação ou enviando mensagens fraudulentas a colegas, levando a golpes maiores.

A empresa afirma que centenas de ataques contra assinantes do Office 365 já foram detectados, em uma campanha que segue em andamento. Para combater o problema, as assinaturas do aplicativo malicioso já foram incluídas no Microsoft Defender, que indicará aos usuários sobre o caráter malicioso da aplicação no momento do pedido de acesso.

Aos já atingidos, a recomendação é realizar uma varredura dos apps autorizados a lerem os e-mails, desativando o chamado Upgrade e outros que não reconheçam. Uma vez que isso é feito, o acesso é restringido, então, é só uma questão de avaliar os danos e alertar sobre a possibilidade de novos golpes envolvendo possíveis informações comprometidas.

Fonte: Microsoft