O LayerX Labs identificou uma nova campanha de phishing de dia zero que se passa por notificações de segurança da Microsoft para induzir as vítimas a compartilhar suas credenciais de login e detalhes de pagamento.
O ataque imita um alerta de segurança do Microsoft Windows Defender, solicitando que os usuários liguem para um número de linha direta, insiram suas credenciais e façam um pagamento ao call center para "proteger" seu computador.
Este ataque foi capaz de penetrar mecanismos tradicionais de segurança de rede, como Secure Web Gateways (SWGs) e soluções Security Service Edge (SSE), porque usa uma série de técnicas de evasão projetadas especialmente para escapar de ferramentas de segurança tradicionais.
Neste blog, compartilharemos os detalhes deste incidente, explicaremos o que o torna único, explicaremos por que ele passou pelos mecanismos de segurança tradicionais e como você pode se proteger (e proteger sua organização) contra tentativas semelhantes.
O incidente: um golpe de alerta da Microsoft
Este ataque foi identificado no ambiente de um dos grandes clientes corporativos da LayerX, onde ignorou diversas camadas de controles de segurança de rede, mas foi bloqueado automaticamente pela LayerX antes que pudesse causar danos.
O ataque emprega uma estratégia simples, mas eficaz: uma página da web que lembra um alerta do Microsoft Windows Defender alegando que o computador foi infectado com malware.
A mensagem afirma que o dispositivo do usuário foi infectado com malware, pedindo que ele ligue para um número de suporte para obter assistência imediata.
Usuários que tentaram sair da página receberam uma mensagem informando que seu dispositivo estava bloqueado, o que exigiu que eles inserissem suas credenciais para efetuar login.
Em alguns casos que testamos, o código da página conseguiu fazer com que o navegador da web travasse, imitando um bloqueio de segurança da Microsoft e novamente solicitando que ligassem para o número falso da linha de ajuda de segurança.
Esse tipo de engenharia social se aproveita da urgência e ansiedade de usuários desavisados. Ao simular uma emergência de segurança, os invasores solicitam que os usuários ajam imediatamente para que eles não percam tempo examinando o alerta muito de perto.
Múltiplas camadas de risco
Os invasores geralmente usam táticas de phishing para enganar os usuários a compartilhar informações ou fornecer acesso aos sistemas. Sem detecção avançada em vigor, os usuários poderiam ter sido expostos ao ataque, colocando-os em risco de:
- Ligando para o número da linha direta fornecido, onde os invasores poderiam manipulá-los para pagar um resgate ou conceder acesso remoto aos seus sistemas.
- Inserindo suas credenciais no site de phishing, que os invasores poderiam roubar e usar para invadir contas.
- As informações dos usuários estão sendo utilizadas para ataques mais sofisticados ou sendo vendidas na dark web.
Por que as defesas convencionais falharam
Muitas organizações implantam a solução Secure Web Gateway (SWG) para lidar com ameaças de navegação e ataques de phishing. No entanto, esse ataque foi detectado em um cliente da LayerX, onde esse ataque contornou o SWG da organização. Isso ocorre porque as defesas da camada de rede, como SWG e gateways de e-mail, geralmente dependem de dois métodos principais:
- Listas de bloqueio de URLs maliciosos conhecidos
- Assinaturas de páginas de phishing conhecidas
Este ataque conseguiu contornar ambos pelos seguintes motivos:
1. Domínio de hospedagem legítimo
Os invasores hospedaram sua página de phishing em um domínio de hospedagem legítimo da Microsoft: windows[.]net.
Windows[.]net é uma plataforma da Microsoft para desenvolvedores hospedarem aplicativos web .net e Azure. Isso significa que a página de phishing residia na própria infraestrutura da Microsoft. Como resultado, a página desfrutava de alta reputação de Top-Level-Domain (TLD).
Isso fez com que parecesse para um observador externo uma página legítima da Microsoft e permitiu que ela contornasse as defesas tradicionais baseadas em URL.
Mesmo que uma solução de defesa baseada em URL identificasse atividade maliciosa, ela normalmente não bloquearia o ULR, pois bloquear todos os subdomínios em `windows.net` interromperia inúmeros serviços legítimos hospedados pela Microsoft, causando problemas operacionais para as organizações.
2. Subdomínios aleatórios de hora zero
Os atacantes fizeram uso de subdomínios randomizados para evitar detecção. Os laboratórios LayerX capturaram `pushalm83e.z13.web.core.windows[.]net`. No entanto, essas strings de domínio podem ser facilmente geradas e frequentemente rotacionadas.
Isso permite que os invasores garantam que a página não corresponda a nenhuma inteligência de ameaça existente ou listas negras de URL em vigor. Essa tática, frequentemente chamada de técnica de “hora zero”, permite que sites de phishing permaneçam online apenas o tempo suficiente para capturar vítimas antes que elas sejam retiradas do ar e rotacionadas para outro subdomínio aleatório.
3. Baixa similaridade com kits de phishing
O design da página de phishing era novo e não correspondia aos modelos, hashes e assinaturas existentes, comumente vistos em kits de phishing. Isso permitiu que a página escapasse da detecção por soluções que dependiam da análise de similaridade de páginas de phishing.
Controles que dependem apenas de modelos e listas de phishing, sem inspecionar o conteúdo da página da web, serão contornados por ataques avançados e criativos.
No entanto, apesar dessas características, o LayerX foi capaz de detectar e bloquear esse ataque a tempo.
Por que o LayerX detectou quando as defesas legadas falharam
Ao contrário das ferramentas tradicionais de segurança de rede, que dependem principalmente de listas de URLs ruins conhecidas, o LayerX protege contra phishing e engenharia social aproveitando a filtragem de URL com análise em tempo real do comportamento da página.
A análise em tempo real do conteúdo da web da LayerX não depende somente da reputação do domínio ou assinaturas estáticas. Em vez disso, ela usa uma rede neural alimentada por IA para detectar fatores de risco em tempo real, mesmo para ataques nunca antes vistos. Como resultado, quando a página de phishing tentou solicitar que os usuários inserissem credenciais ou ligassem para um número de suporte, a solução da LayerX identificou imediatamente essa tentativa, sinalizou-a como suspeita e bloqueou automaticamente a página, evitando danos potenciais.
LayerX é a primeira solução que enfrenta o desafio de proteger a superfície de ataque mais direcionada e exposta da atualidade – o navegador, sem impactar a experiência do usuário.
O LayerX oferece proteção abrangente para todas as ameaças transmitidas pela Web com monitoramento contínuo, análise de risco e aplicação em tempo real de qualquer evento e atividade do usuário na sessão de navegação.
As empresas aproveitam esses recursos para proteger seus dispositivos, identidades, dados e aplicativos SaaS contra ameaças transmitidas pela web e riscos de navegação contra os quais as soluções de endpoint e rede não podem proteger. Isso inclui bloqueio de vazamento de dados pela web, aplicativos SaaS e ferramentas GenAI, prevenção de roubo de credenciais por phishing, aplicação de acesso seguro a recursos SaaS pela força de trabalho interna ou externa para mitigar o risco de aquisição de conta, descoberta e desabilitação de extensões maliciosas de navegador, Shadow SaaS e muito mais.
A extensão do navegador LayerX Enterprise integra-se nativamente a qualquer navegador, transformando-o no ambiente de trabalho mais seguro e gerenciável. Saiba mais.
