A Microsoft está emitindo um alerta sobre campanhas de ataques cibernéticos que exploram serviços legítimos de hospedagem de arquivos, como SharePoint, OneDrive e Dropbox. Esses serviços, amplamente utilizados em ambientes corporativos, são empregados como uma tática de evasão de defesa pelos agentes de ameaças. O objetivo dessas campanhas é variado, permitindo que os atacantes comprometam identidades e dispositivos, levando a fraudes financeiras, exfiltração de dados e movimento lateral para outros endpoints.

A técnica utilizada, chamada LOTS (living-off-trusted-sites), aproveita a confiança e familiaridade que esses serviços oferecem para contornar as proteções de segurança e entregar malware. Desde abril de 2024, a Microsoft tem observado um aumento nas campanhas de phishing que utilizam esses serviços, envolvendo arquivos com acesso restrito e restrições de visualização. Os ataques geralmente começam com o comprometimento de um usuário em um fornecedor confiável, permitindo que os invasores preparem arquivos maliciosos para compartilhar com alvos específicos.

Uma vez que o destinatário tenta acessar um arquivo compartilhado, é solicitado a verificar sua identidade fornecendo um endereço de e-mail e uma senha de uso único (OTP). Após a autenticação, o alvo é redirecionado para uma página de phishing que rouba suas credenciais e tokens de autenticação de dois fatores (2FA). Isso não só permite que os atacantes assumam o controle da conta, mas também facilita a realização de outros golpes, como ataques de comprometimento de e-mail comercial (BEC) e fraudes financeiras. A situação é ainda mais complicada pelo lançamento de um novo kit de phishing AitM chamado Mamba 2FA, que permite a propagação de campanhas de phishing direcionadas.