Além do Campo de Login: A Técnica de Phishing para a Qual os Usuários Não Estão Preparados
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
O phishing moderno foi além do roubo básico de credenciais e agora inclui técnicas avançadas como ClickFix, Browser-in-the-Browser, phishing de consentimento OAuth, phishing de código de dispositivo e sobreposições falsas de videoconferência. Essas abordagens evitam o treinamento tradicional de conscientização ao abusar de ferramentas de sistema confiáveis, plataformas legítimas de nuvem e comportamento comum de solução de problemas por parte dos usuários. Em vez de apenas roubar senhas, os atacantes buscam cada vez mais contornar a autenticação multifator, convencendo os usuários a aprovar sessões maliciosas ou executar comandos através de utilitários nativos de terminal.
Investigação
A Huntress observou essas táticas em mudança através de seus serviços gerenciados de EDR e ITDR, identificando uma mudança mais ampla em direção ao abuso nativo do navegador e atalhos de engenharia social. A equipe notou um aumento acentuado no phishing de código de dispositivo e examinou como ataques no estilo ClickFix exploram a memória muscular do usuário para acionar a execução de comandos maliciosos. A pesquisa também mostra como os atacantes aproveitam a confiança dos usuários em plataformas legítimas, como Microsoft e Google, para obter acesso não autorizado.
Mitigação
As organizações devem ir além dos programas estáticos de conscientização de segurança e adotar simulações interativas que reflitam as práticas atuais de phishing. Os usuários devem ser treinados para identificar comportamentos suspeitos do navegador, incluindo janelas falsas que não podem ser arrastadas para fora da moldura do navegador, e evitar inserir códigos de autorização de dispositivo que não iniciaram eles mesmos. Controles fortes de ITDR e EDR também são essenciais para detectar concessões de OAuth não autorizadas e atividades suspeitas de execução de comandos.
Resposta
Quando a execução suspeita de comandos é detectada, como Win+R seguido por atividade inesperada de terminal, os respondedores devem isolar o endpoint imediatamente. Em casos de suspeita de comprometimento de OAuth ou de código de dispositivo, os administradores devem revogar todas as sessões ativas e tokens de atualização para a conta afetada e revisar a atividade recente de consentimento de aplicativos. Também se deve verificar os logs de auditoria em busca de eventos incomuns de Microsoft Entra ID e sinais de instalação não autorizada de ferramentas RMM.
Fluxo de Ataque
Detecções
Download de Executável Suspeito (via proxy)
Ver
Padrões Possíveis de Ataque ClickFix na Linha de Comando (via cmdline)
Ver
Ataque de Phishing ConsentFix Alvejando Roubo de Código de Autorização OAuth do Azure AD [Logs de Atividade do Azure]
Ver
Detecção de Atividade Suspeita com Base nas Técnicas de Ataque ClickFix [Criação de Processos no Windows]
Ver
Execução da Simulação
Pré-requisito: O Cheque Pré-voo de Telemetria e Linha de Base deve ter passado.
Racional: Esta seção detalha a execução precisa da técnica adversária (TTP) destinada a acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visar gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa do Ataque & Comandos: O adversário usa um falso “CAPTCHA” ou prompt de “Atualização do Navegador” para enganar o usuário. O prompt instrui o usuário a pressionar
Win+R, em seguidaCtrl+V, em seguidaEnterpara “verificar se eles são humanos.” O usuário, sem saber, cola um comando malicioso que cria um arquivo chamadoCAPTCHA_verification.txte então executa um comando de shell contendo as strings de instrução para imitar a entrada “colada” do usuário. Esta simulação criará um arquivo chamado “CAPTCHA_file.txt” e em seguida executará um comando contendo as strings “Ctrl+V” e “Enter” para satisfazer aseleção1andseleção2condições. -
Script de Teste de Regressão:
# Simulação de TTPs de ClickFix # 1. Criar um arquivo com 'CAPTCHA' no nome para acionar a seleção2 (EventID 11) $filePath = "$env:TEMPCAPTCHA_instruction.txt" New-Item -Path $filePath -ItemType File -Force # 2. Executar um processo com 'Ctrl+V' e 'Enter' na linha de comando para acionar a seleção1 (EventID 1) # Usamos cmd.exe como o processo alvo. Start-Process cmd.exe -ArgumentList "/c echo Usuário pressionou Ctrl+V e Enter > $filePath" -
Comandos de Limpeza:
# Limpar artefatos simulados Remove-Item -Path "$env:TEMPCAPTCHA_instruction.txt" -Force -ErrorAction SilentlyContinue