Cibercriminosos estão cada vez mais usando ferramentas legítimas de clientes HTTP para realizar ataques de roubo de contas em ambientes Microsoft 365. Segundo a empresa de segurança Proofpoint, campanhas recentes utilizaram os clientes HTTP Axios e Node Fetch para enviar e receber requisições da web, facilitando ataques como Adversary-in-the-Middle (AitM) e técnicas de força bruta. Essas ferramentas, originalmente disponíveis em repositórios públicos como o GitHub, têm sido amplamente exploradas por cibercriminosos para comprometer contas corporativas. Entre os clientes HTTP mais utilizados estão Axios, Go Resty, Node Fetch e Python Requests.

Segundo a Proofpoint, o Axios, projetado para Node.js e navegadores, pode ser integrado a plataformas AitM como Evilginx, permitindo o roubo de credenciais e códigos de autenticação multifator (MFA). Além disso, criminosos foram flagrados configurando regras de e-mail para ocultar rastros, roubando dados sensíveis e registrando novas aplicações OAuth com permissões elevadas para garantir acesso remoto persistente ao ambiente comprometido. As campanhas utilizando Axios miraram alvos de alto valor, como executivos, diretores financeiros, gerentes de contas e funcionários de operações em setores como transporte, construção, finanças, TI e saúde.

Além disso, a Proofpoint detectou uma campanha massiva de password spraying utilizando Node Fetch e Go Resty, com mais de 13 milhões de tentativas de login desde 9 de junho de 2024. A média diária foi de mais de 66 mil ataques, embora a taxa de sucesso tenha sido relativamente baixa, afetando apenas 2% das entidades visadas. Entre as 3.000 organizações identificadas, mais de 178.000 contas foram alvo dos ataques, sendo a maioria de instituições educacionais, especialmente contas de estudantes, que geralmente possuem menor proteção e podem ser usadas em novos ataques ou revendidas na dark web.