Pesquisadores da Push Security descobriram uma nova campanha de phishing que tem como alvo os sistemas Microsoft 365 (M365) e usa o Active Directory Federation Services (ADFs) para permitir o roubo de credenciais.
Esse vetor de ataque explora os mecanismos de redirecionamento de autenticação da Microsoft, efetivamente transformando um serviço legítimo em um canal para operações de phishing.
Infraestrutura de phishing sofisticada
A campanha começa com as iscas malvertisas distribuídas por meio de resultados de pesquisa do Google, onde os usuários que procuram termos como “Office 365” (frequentemente enevoados como “Office 265”) encontram links patrocinados que se disfarçam como recursos oficiais da Microsoft.
Esses anúncios, anexados aos parâmetros de rastreamento do Google, redirecionam as vítimas através de uma cadeia que finalmente pousa em um proxy reverso site de phishing Projetado para interceptar sessões e ignorar a autenticação multifatorial (MFA).
O kit de phishing em si não é digno de nota, um atacante padrão, configurando a página de login da Microsoft, mas a inovação está em suas táticas de entrega e evasão, desenhando de dissecções práticas de kits do mundo real direcionados aos clientes da Push.
Central para esta campanha é o abuso de ADFs, a solução de sinal único da Microsoft (SSO) para integrar o local local Active Directory Com serviços em nuvem como o Azure AD e M365.
Redução técnica da cadeia de redirecionamento
Os atacantes estabelecem um inquilino personalizado da Microsoft configurado com um servidor ADFS malicioso, permitindo que eles insira um domínio falso, como o bluegaintours[.]com no fluxo de autenticação.
Esse domínio, disfarçado de um blog de viagens inócuo com conteúdo gerado pela IA, incluindo postagens fabricadas em blog de autores pseudônimos como “John Doe” e “Jane Smith”, serve como um redirecionador invisível.
Quando as vítimas clicam no link Malvertising, elas são canalizadas do Outlook.Office.com através deste domínio para o terminal de phishing (por exemplo, Login-Microsoftonline[.]Offirmtm[.]com), com a própria Microsoft executando o redirecionamento através do/ADFS/LS/PATH.
Isso imita as páginas de destino específicas do inquilino legítimo, semelhantes às técnicas de samljacking, onde os domínios do provedor de identidade são envenenados para a autenticação por procuração.
A configuração evita as detecções baseadas em URL, hospedando em infraestrutura de terceiros confiáveis, complicando scanners automatizados e filtros de procuração que dependem da categorização do domínio.
A evasão adicional é alcançada através de carregamento condicional, onde a página de phishing é ativada apenas sob condições específicas, como agentes de usuário ou geolocações válidos; Caso contrário, os analistas são loopados de volta ao Office.com, frustrando a análise estática.
O recurso de cronogramas de Push, que rastreia as cadeias de navegação, incluindo redirecionamentos, guias, formas e insumos, foi fundamental para mapear esse fluxo do clique inicial do AD do Google para captura de credenciais, revelando que não há envolvimento direto por e-mail de phishing e destacando a mudança em direção a vetores de entrega que não são do salto, como mídia social, mensageiros instantâneos ou anexos.
Esta campanha ressalta a sofisticação em evolução da evasão de phishing, o tratamento de ADFs redireciona como redirecionamentos funcionais abertos exploráveis por qualquer invasor capaz de criar um inquilino da Microsoft uma barreira baixa que exige apenas um cartão de crédito.
Paralela vulnerabilidades de alto impacto como um redirecionamento aberto no Outlook.com, ampliando riscos em ambientes sem monitoramento robusto.
Para detecção, as organizações devem examinar os registros de proxy para redirecionamentos de ADFs anômalos de login.microsoftonline.com para domínios desconhecidos com/ADFs/ls/caminhos, filtrando os legítimos em configurações de uso de ADFs.
De acordo com o relatórioMonitorando o Google redireciona para o Office.com com parâmetros de anúncio pode sinalizar variantes de malvertismo, enquanto os bloqueadores de anúncios em todo o navegador atenuam esse canal de atração, embora fiquem aquém dos métodos de entrega mais amplos.
Recomendações mais amplas incluem endurecimento agnóstico da ferramenta, como feeds de inteligência de ameaças aprimorados para kits emergentes e análise comportamental para detectar padrões de AITM além dos URLs.
À medida que o phishing evolui além das defesas centradas por e-mail, a integração da telemetria de endpoint com a visibilidade abrangente da cadeia de redirecionamento se torna essencial para combater essas ameaças orientadas a pesquisas, enfatizando a necessidade de posturas de segurança adaptativas e de várias camadas em pesquisas de vulnerabilidade e fluxos de trabalho de inteligência.
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!