Uma campanha global de phishing está explorando vulnerabilidades no Active Directory Federation Services (ADFS) da Microsoft para comprometer contas e contornar a autenticação multifator (MFA). A pesquisa da Abnormal Security revelou que mais de 150 organizações já foram alvo desse ataque sofisticado.
Os criminosos utilizam engenharia social e técnicas avançadas para enganar as vítimas. E-mails falsificados, com alertas urgentes e aparência legítima, direcionam os usuários para páginas falsas de login do ADFS. Essas páginas são altamente personalizadas, adaptando-se ao esquema de MFA da empresa-alvo, replicando o design e até incorporando elementos visuais reais.
Após a vítima inserir suas credenciais, os invasores capturam também o segundo fator de autenticação, seja um código do Microsoft Authenticator, Duo Security, SMS ou notificações push. Em seguida, os usuários são redirecionados para o portal legítimo do ADFS, reforçando a ilusão de que o login foi bem-sucedido.
Com essas credenciais comprometidas, os invasores realizam ataques internos, exploram e-mails, criam regras de filtragem para ocultar sua presença e lançam ataques de phishing lateral, visando contatos confiáveis dentro da organização.
A maior parte das vítimas pertence ao setor educacional (50%), seguido por saúde (14,8%), governo (12,5%), tecnologia (6,3%) e transporte (3,4%). A maioria dos ataques ocorre nos Estados Unidos, mas também há registros no Canadá, Austrália e Europa.
Especialistas alertam que muitas empresas ainda utilizam o ADFS em vez de migrar para plataformas modernas de identidade, como o Microsoft Entra, tornando-as mais vulneráveis. Além disso, métodos populares de MFA, como autenticação por push e OTP, ainda são suscetíveis a ataques desse tipo.
Para mais informações, veja o artigo original em HackRead aqui.
Recomendação da CameIT:
A CameIT recomenda que empresas migrem para soluções de autenticação modernas, como o Microsoft Entra, e adotem MFA resistente a phishing, como chaves de segurança baseadas em FIDO2. Além disso, é essencial treinar funcionários para reconhecer tentativas de phishing e implementar monitoramento contínuo para detectar acessos suspeitos.
