Jalisco e OmegaLord: Microsoft 365 sofre nova onda de ataques

Wait 5 sec.

Grupos cibercriminosos realizaram inúmeras campanhas novas de ataques de phishing nos últimos dias, alertam pesquisadores da ReliaQuest. Os atacantes usam duas ameaças cibernéticas, chamadas de Jalisco e OmegaLord, projetadas especificamente para invadir contas corporativas do Microsoft 365 ao burlar a verificação em duas etapas (MFA).A engenharia por trás do kit Jalisco é voltada para abusar de um recurso real da Microsoft chamado Device Code (Código de Dispositivo). Esse é aquele código usado para fazer login em Smart TV, no qual o usuário insere no celular um código exibido na TV para acessar determinado conteúdo rapidamente.No ataque, o criminoso pede acesso fingindo ser um novo aparelho. Em seguida, envia um e-mail falso à vítima exigindo uma "verificação urgente" e a direciona para uma página falsa da Microsoft. Quando o usuário digita o código, ele autoriza o dispositivo do hacker.Para driblar a Microsoft, já que os códigos expiram em 15 minutos, o Jalisco gera senhas novas instantaneamente assim que a vítima acessa a página falsa. O invasor chega a cadastrar até cinco aparelhos piratas na conta invadida, dando a eles nomes como "Windows" para que o dono da conta não desconfie de nada ao olhar a lista de acessos.Exemplo de página da Microsoft usada por golpistas para a autenticação de dois fatores (Imagem: ReliaQuest/reprodução)A armadilha do OmegaLordO OmegaLord foca na coleta predatória de dados para quebrar o MFA. Quando a vítima tenta abrir um falso documento de trabalho, uma página falsa da Microsoft solicita o e-mail corporativo, a senha e o número de telefone celular. Ao capturar o telefone, o objetivo dos cibercriminosos é realizar ataques focados na operadora e interceptar SMS.O roubo de telefone é uma parte importante desse processo, pois abre um mundo de possibilidades para os hackers. Uma dessas possibilidades é a clonagem de chip. Com o telefone, eles também podem acionar o suporte ou os sistemas automáticos de recuperação de contaUma vez que o criminoso consegue acesso à conta do funcionário usando o Jalisco ou o OmegaLord, ele leva apenas cerca de seis minutos para invadir plataformas internas da empresa, como o SharePoint. Neste curto espaço de tempo, os atacantes roubam planilhas financeiras, dados pessoais de clientes e e-mails confidenciais para chantagear as empresas afetadas.Tela de login usada pelo OmegaLord (Imagem: ReliaQuest/reprodução)Para se proteger de golpes assim, a principal indicação da ReliaQuest é que o sistema da Microsoft tenha menos dispositivos vinculados, já que atualmente permite até 50. A desativação do recurso de Device Code também pode ser realizada pelas empresas, a menos que seja extremamente necessário.Por falar em golpes complexos, o temido ataque do RedHook voltou a ativa com uma versão evoluída capaz de invadir completamente celulares Android. Siga o TecMundo no X, Instagram, Facebook e YouTube e assine a nossa newsletter para receber as principais notícias e análises diretamente no seu e-mail.