Novo golpe de phishing usa IA para roubar tokens do Microsoft 365

Wait 5 sec.

Pesquisadores da Cisco Talos descobriram uma nova plataforma especializada em invadir contas corporativas do Microsoft 365. Batizado de ARToken, o sistema atua como um serviço de phishing para cibercriminosos e chama a atenção pelo aparato técnico sofisticado, como o uso de inteligência artificial.O ARToken funciona sob o modelo de Phishing-as-a-Service (Phishing como um Serviço). Em outras palavras, é como se os desenvolvedores desse software malicioso tivessem criado essa plataforma e a alugassem para grupos hackers com menor experiência. Essa já é uma tática muito utilizada no submundo da internet.O grande perigo desse ARToken é que ele não vai atrás de meras senhas e credenciais das vítimas. Esse malware busca os tokens de autenticação do usuário, ou seja, as chaves digitais presentes naquela aplicação. Ao acessar essa chave, os cibercriminosos ficam com o caminho livre para espionar a máquina e roubar informações.Esse serviço de phishing consegue até mesmo burlar a autenticação de dois fatores (Imagem: Bleeping Computer/Reprodução).A parte interessante é que esse vírus usa IA para ler os emails da vítima. Ele consegue identificar quais mensagens são sobre transações financeiras e ainda pode redigir emails para enganar outras pessoas. Os invasores também conseguem apagar alertas de segurança e baixar dados do OneDrive e SharePoint.Golpe usa estrutura da MicrosoftPor ser um golpe de phishing, a técnica do ARToken segue alguns padrões bem definidos e conhecidos. As vítimas geralmente são funcionários do setor de finanças, que recebem um e-mail falso se passando por um fornecedor legítimo com uma suposta fatura no SharePoint.Ao clicar no link, a vítima é induzida a entrar na página real de login da Microsoft e digitar um código gerado pelo criminoso. Como o login é feito no site oficial da Microsoft, a própria vítima aprova a entrada e passa pelo duplo fator de segurança (MFA). Contudo, devido à engenharia do golpe, a Microsoft emite o token de acesso diretamente para o servidor do hacker, dando a ele entrada livre à conta.Do lado mais técnico, o ARToken possui um painel de controle avançado com mais de 80 portas de comunicação. Isso permite que os criminosos gerenciem múltiplas campanhas de roubo de dados simultaneamente. Por meio dessa estratégia, é possível ter acesso a tudo relacionado com essas contas.A grande novidade desse tipo de golpe é que ele se apoia justamente na estrutura oficial da Microsoft, então as defesas de antivírus não são acionadas. Como forma de proteção, o ideal é sempre treinar as equipes ao informar que a Microsoft não exige códigos para liberar faturas ou ler documentos de trabalho.Para quem trabalha no setor de TI, uma das recomendações feitas pela Cisco é desabilitar o fluxo de autenticação por código de dispositivo no painel da Azure.Por falar de golpes envolvendo transações financeiras, um conhecido vírus bancário que atuava no Brasil agora faz vítimas na Espanha e Portugal. Siga o TecMundo no X, Instagram, Facebook e YouTube e assine a nossa newsletter para receber as principais notícias e análises diretamente no seu e-mail.