Ouvidoria 0800 718 2048 | SAC 0800 200 6070 | Sinistros 0800 202 2042

Manchetes do Mercado

14 de fevereiro de 2025

Cibercriminosos usam Microsoft Teams para roubo de credenciais

Compartilhe

A Microsoft alertou sobre um novo grupo de ameaças chamado Storm-2372, responsável por ataques cibernéticos direcionados a diversos setores desde agosto de 2024. Os alvos incluem governos, ONGs, empresas de tecnologia e TI, defesa, telecomunicações, saúde, educação superior e energia. As operações do grupo abrangem regiões como Europa, América do Norte, África e Oriente Médio.

A empresa avalia com confiança média que os invasores possuem alinhamento com interesses russos. Eles utilizam aplicativos de mensagens como WhatsApp, Signal e Microsoft Teams para se passar por figuras influentes e ganhar a confiança das vítimas.

Método de Ataque: Device Code Phishing

Os ataques do Storm-2372 utilizam a técnica de device code phishing, que engana usuários para que façam login em aplicativos de produtividade enquanto os criminosos capturam tokens de autenticação gerados. Esses tokens permitem que os invasores acessem as contas comprometidas sem a necessidade de senhas, explorando dados sensíveis e mantendo presença no ambiente da vítima.

O golpe inicia-se com e-mails de phishing disfarçados de convites para reuniões no Microsoft Teams. Ao clicar no link, o usuário é solicitado a autenticar um código gerado pelos atacantes. No momento em que insere esse código em uma página legítima de login, sem perceber, a vítima concede aos hackers acesso à sua conta.

Movimentação Lateral e Roubo de Dados

Uma vez dentro do ambiente da vítima, os invasores utilizam os tokens para se movimentar lateralmente nas redes, enviando novos e-mails de phishing a partir das contas comprometidas. Além disso, exploram a ferramenta Microsoft Graph para buscar mensagens que contenham termos sensíveis, como:

  • username
  • password
  • admin
  • credentials
  • secret
  • gov

Os e-mails correspondentes são então exfiltrados e acessados pelos criminosos, aumentando a gravidade do comprometimento.

Medidas de Mitigação

Para reduzir o risco desses ataques, a Microsoft recomenda:

  • Bloquear o fluxo de autenticação por código de dispositivo sempre que possível.
  • Implementar autenticação multifator (MFA) resistente a phishing para dificultar acessos não autorizados.
  • Adotar o princípio do menor privilégio, garantindo que os usuários tenham apenas o acesso estritamente necessário aos sistemas.

A adoção dessas práticas pode minimizar as vulnerabilidades e dificultar as ações do grupo Storm-2372.

Fonte: BoletimSec

Saiba mais sobre o Seguro Cyber:

cibercriminosos roubo seguro cyber

Publicado em: