A nova campanha de phishing do Microsoft Dynamics 365 ignora a autenticação multifactor

Uma nova campanha de phishing em larga escala está explorando ativamente o Microsoft Dynamics 365 STOTOM Voz do cliente O aplicativo de gerenciamento de enterPrise para decomposição para o feedback para o Microsoft Dynamics 365 e a Voz do cliente , o Músico da Microsoft Dynamics 365 Autenticação (MFA). O ataque representa uma ameaça significativa para o grande número de organizações globalmente que dependem do Microsoft 365 e do Dynamics 365 para operações comerciais. Identificou esta campanha, observando que aproveita as contas comprometidas para enviar e-mails contendo links de voz de dinâmica falsa 365. Os e-mails são criados para parecer legítimos, geralmente centrados em temas financeiros, como declarações de liquidação ou informações de pagamento. A campanha já implantou mais de 3.370 e-mails, alcançando funcionários em mais de 350 organizações, principalmente nos Estados Unidos, e visando mais de um milhão de caixas de correio. Os usuários são direcionados para um teste CAPTCHA, uma tática destinada a emprestar um ar de autenticidade. Depois disso, as vítimas são enviadas para um site de phishing projetado para imitar uma página de login da Microsoft, onde os atacantes tentam roubar credenciais. Ataques bem-sucedidos concedem aos criminosos cibernéticos acesso não autorizado a informações e sistemas sensíveis, levando potencialmente a contas internas manipuladas, roubo de fundos e interrupções operacionais. > Explorando os Serviços Microsoft confiáveis ​​

A inteligência desse método está em sua exploração de confiança. Ele se baseia na familiaridade do destinatário com comunicações comerciais regulares envolvendo serviços da marca Microsoft, dificultando a distinção dos e-mails fraudulentos da correspondência legítima. Os invasores estão alavancando links legítimos da Microsoft Notificações como parte da cadeia de ataques. 

Esta técnica, que aproveita sites legítimos para superar os scanners de segurança passados, é referida como”a via expressa estática”pelos pesquisadores de Check Point. Esses ataques são incrivelmente difíceis para os serviços de segurança detectar e ainda mais difíceis de identificar.

O link de phishing geralmente não aparece até a etapa final. O Check Point diz que”os usuários são direcionados para uma página legítima-tão pairando sobre o URL no corpo de e-mail não fornecerá proteção”. O link de phishing geralmente redireciona os usuários através de várias páginas intermediárias antes de pousar na página final de phishing. Os formulários Dynamics 365 usam certificados SSL legítimos, como os de https://forms.office.com ou https://yourcompanyname.dynamics.com, que podem ajudar a evitar ferramentas de detecção de phishing que verificam as capacidades inválidas ou suspeitas. Autenticação multifatorial. Isso geralmente é alcançado através do uso de kits de ferramentas sofisticados de phishing-as-a-service (PHAAS). Credenciais do usuário e cookies de sessão, o que significa que mesmo os usuários com MFA ativados ainda podem ser vulneráveis. O Microsoft rastreia os desenvolvedores e distribuidores do kit de phishing DadSec/Phoenix, relacionado ao Rockstar 2fa,

O kit de ferramentas inclui os recursos como 2FAs, a colheita de bico, a colheita de bico de bico, a colheita de bico, Links indetectáveis ​​(FUD) e integração do BOT do Telegram. 

Campanhas de email usando o Rockstar 2FA Aproveite diversos vetores de acesso inicial, como URLs, códigos QR e anexos de documentos. Os modelos de atração usados ​​com o Rockstar 2FA intervam desde notificações de compartilhamento de arquivos até solicitações de assinaturas eletrônicas. Os invasores usam redirectores de ligação legítima como um mecanismo para ignorar a detecção antispam. Eles podem lançar Compromissão de e-mail comercial). Os invasores também manipulam as configurações de email para ocultar suas atividades, criando regras de filtragem para excluir automaticamente as notificações de segurança. Para evitar a detecção, eles podem usar os serviços VPN, fazendo com que seus logins pareçam se originar do local usual da vítima.

A Microsoft tomou medidas, bloqueando algumas das páginas de phishing usadas na campanha. No entanto, alguns e-mails maliciosos ainda podem ter atingido caixas de entrada antes que essas páginas fossem retiradas. A Microsoft frustrou US $ 4 bilhões em tentativas de fraude, rejeitou 49.000 matrículas de parceria fraudulenta e bloqueou cerca de 1,6 milhão de tentativas de inscrição por hora entre abril de 2024 e abril de 2025, de acordo com o MelloSoft Security blog MelloSoft Blog

microfast Os atores cibernéticos que procuram suas próprias ferramentas de produtividade, facilitando e mais baratas gerar conteúdo crível para ataques cibernéticos a uma taxa cada vez mais rápida”. As ferramentas de IA podem digitalizar e raspar a Web em busca de informações da empresa, ajudando os cibertackers a criar perfis detalhados de funcionários ou outros alvos para criar iscas de engenharia social altamente convincentes. Essa técnica manipula a estrutura do OAuth do Google para enviar e-mails que pareciam assinados autenticamente, ignorando as verificações DMARC. Ele ressalta uma tendência mais ampla em que os invasores abusam de plataformas e protocolos confiáveis ​​para dar legitimidade aos seus golpes. Para organizações que ainda usam ADFs, é recomendável a transição para o Microsoft ENTRA ID, pois oferece mais métodos de autenticação resistentes a phishing. O treinamento regular de conscientização sobre segurança também são etapas cruciais. Os funcionários devem ser educados sobre como identificar tentativas de phishing e verificar solicitações incomuns de login com seu departamento de TI. A mudança em direção a estruturas de segurança zero-confiança, exigindo verificação contínua, também é vista como um padrão futuro.