Observada campanha de takeover de contas de Azure Cloud

Uma campanha de takeover de contas cloud ativa está a impactar dezenas de ambientes Azure e a comprometer centenas de contas de utilizadores na plataforma de cloud da Microsoft, indicam os investigadores da Proofpoint.

A empresa de cibersegurança detetou uma campanha de takeover de contas cloud e phishing de credenciais no final de novembro de 2023 que ainda está ativa. Tentativas individualizadas de phishing são partilhadas em documentos partilhados, incluindo ligações embebidas para ‘ver o documento’, mas também que levam para uma página maliciosa.

Os alvos são normalmente posições seniores dentro das empresas, incluindo diretores de venda, account managers e gestores financeiros, dizem os investigadores, assim como posições executivas, como presidente e CEO, vice-presidente de operações ou CFO.

Após o acesso inicial, as atividades incluem a manipulação de MFA para manter a persistência que pode incluir o registo de um número de telefone falso para autenticação por SMS ou adicionar um autenticador separado com notificação e código.

As atividades subsequentes provavelmente incluem exfiltração de dados, phishing interno e externo, fraude financeira e ofuscação de comprometimento através de novas regras de caixa de correio para cobrir o rasto e remover evidências de atividades maliciosas das caixas de correio das vítimas.