Evilginx volta a viabilizar ataques AiTM e furto de cookies de sessão | Riscos e Ameaças

Relatos recentes mostram uso renovado do toolkit Evilginx para AiTM: páginas-proxy roubam cookies de sessão após MFA, permitindo a invasores assumir contas sem o código e afetando instituições educacionais. Mitigações incluem controles de sessão e monitoramento comportamental.

Hackers estão usando o toolkit de phishing Evilginx para executar campanhas avançadas de attacker-in-the-middle (AiTM) que roubam cookies de sessão e contornam autenticação multifator, afetando especialmente instituições educacionais.

Panorama e descoberta

Relatos recentes compilados por veículos de segurança mostram uma nova onda de ataques baseada em Evilginx que captura cookies temporários emitidos após a validação por MFA, permitindo que invasores assumam sessões autenticadas sem precisar do código de MFA. Pesquisadores da Malwarebytes foram citados como identificadores das implicações dessa técnica, que dá ao atacante acesso persistente a contas comprometidas.

Fluxo de ataque técnico

Evilginx opera como um proxy transparente entre a vítima e o serviço legítimo. O usuário é atraído por um link malicioso para uma página de phishing que replica em tempo real o site alvo; a página atua como um intermediário que retransmite o processo de login enquanto intercepta credenciais e, crucialmente, o cookie de sessão emitido após a validação do MFA.

“isso concede ao intruso acesso irrestrito à conta comprometida”, dizem pesquisadores citados nas matérias.

O que torna o método especialmente furtivo é que a página proxy muitas vezes serve conteúdo ao vivo do serviço legítimo e pode apresentar certificado TLS válido, neutralizando checagens básicas do usuário, como o cadeado do navegador. Além disso, operadores usam links de vida curta para evitar que as URLs maliciosas permaneçam tempo suficiente para serem catalogadas em blocklists.

Impacto observado e vetores atingidos

Fontes descrevem um aumento desses ataques com impacto notável em instituições educacionais, que têm sido frequentemente alvos. A técnica permite ao atacante, após reproduzir o cookie de sessão, ler e-mails, modificar configurações de segurança e exfiltrar dados sem passar novamente pela MFA, porque a sessão já foi validada pelo serviço.

Detecção e limitações das defesas

Ferramentas que dependem de validação estática de URLs ou de indicadores de reputação têm dificuldade em detectar essas campanhas devido à natureza dinâmica das páginas proxy e à curta duração das URLs. A detecção comportamental pode identificar anomalias (como sessões ativas a partir de IPs incomuns), mas as matérias apontam que isso exige maturidade operacional e análise contínua, recursos que nem todas as instituições possuem.

Mitigações práticas

Adicionar verificação de contexto de sessão (device fingerprint, geolocalização e heurísticas de risco) para sessões autenticadas.
Hardenings em políticas de sessão: reduzir durações excessivas de cookies e exigir reautenticação para ações sensíveis.
Monitoramento de atividade pós-login e alertas para mudanças de configuração crítica em contas privilegiadas.
Campanhas de conscientização sobre phishing focadas em técnicas AiTM e verificação de URLs curtas.

O que falta saber

As publicações não quantificam o volume total de compromissos nem listam domínios de phishing específicos além de exemplos genéricos, e não há indicação única de atribuição a um grupo específico. As fontes também não detalham se provedores de identidade (IdPs) foram notificados em massa pelas equipes de resposta.

Conclusão

O retorno de campanhas Evilginx reforça que MFA por si só não é uma garantia absoluta se controles de contexto de sessão e detecção comportamental não estiverem implementados. Organizações, em especial instituições de ensino, devem revisar políticas de sessão, fortalecer monitoramento pós-login e priorizar defesa contra phishing dinâmico.