Ataques de phishing tornaram-se mais sofisticados, e os atacantes não estão mais dependendo de e-mails falsos desajeitados ou mensagens de golpe óbvias. Uma campanha recém-identificada mostra como atores de ameaças estão transformando ferramentas cotidianas do Microsoft 365 em armas, escondendo seus ataques dentro dos próprios fluxos de trabalho que os funcionários mais confiam.
Mecânica do ataque e abuso de confiança
O ataque visa os Grupos do Microsoft 365, um recurso de colaboração que as organizações usam diariamente para coordenar equipes, compartilhar arquivos e gerenciar atualizações internas. Ao tomar o controle de um grupo e adicionar vítimas a ele, os atacantes podem se infiltrar na caixa de entrada, calendário e armazenamento de arquivos de um usuário de uma vez. O e-mail de boas-vindas parece limpo, o nome do grupo parece familiar e nada levanta suspeitas imediatamente.
Analistas da equipe de Inteligência e Especialistas em Pesquisa (FIRE) da Fortra identificaram e documentaram essa técnica, notando que ela representa uma mudança do phishing tradicional para o abuso de fluxo de trabalho confiável. O ataque é projetado para fazer com que a atividade maliciosa pareça colaboração rotineira. Nomes de grupos como "Suporte de TI", "Atualizações de RH", "Revisão Financeira" ou "Toda a Empresa" são criados para se misturar com comunicações internas.
CalPhishing: Quando o calendário se torna o gancho
O que torna esta campanha especialmente eficaz é o uso de CalPhishing. Uma vez que o atacante ganha entrada através de um convite de grupo, um evento de calendário malicioso em formato .ics é enviado para o calendário Outlook da vítima. Esse evento continua enviando lembretes, mantendo o phishing vivo muito depois que o e-mail original pode ter sido excluído ou perdido.
O convite de calendário pode ser disfarçado como uma reunião de projeto, um prazo de RH, um alerta de administrador ou uma revisão de fatura. Cada lembrete empurra o usuário em direção a tomar ação ao longo do tempo. Essa exposição repetida é o que separa o CalPhishing de um ataque de e-mail único padrão. O gancho de phishing não parece mais um golpe, mas como uma tarefa de trabalho não resolvida aguardando ser tratada.
Riscos e consequências potenciais
O impacto potencial é significativo, pois as vítimas podem enfrentar roubo de credenciais, captura de token, entrega de malware, exposição de dados ou engenharia social adicional. Como o ataque ocorre através da própria infraestrutura da Microsoft, ferramentas de detecção de estágio inicial podem não sinalizá-lo, dando aos atacantes mais tempo para se moverem pelo ambiente sem detecção.
Uma vez que um usuário está dentro do grupo controlado pelo atacante, o conteúdo de acompanhamento chega através da caixa de correio do grupo, documentos compartilhados ou convites de calendário. Cada passo espelha um fluxo de trabalho genuíno do Microsoft 365, que é exatamente o que mantém os usuários de levantar um alarme. O risco se torna real quando um usuário toma uma ação, seja clicar em um link, abrir um arquivo ou responder a uma solicitação.
Sinais de detecção e resposta
Equipes de segurança são aconselhadas a olhar além da caixa de entrada ao investigar esses ataques. Os defensores devem rastrear a cadeia completa, cobrindo quem criou o grupo, quem foi adicionado, quais arquivos foram compartilhados e se entradas de calendário ainda permanecem após a remediação de e-mail. Organizações podem bloquear o domínio remetente "groups.outlook.com" no nível do gateway para parar notificações de grupo externas.
Recomendações para CISOs e equipes de segurança
Os funcionários também precisam de treinamento para tratar adições inesperadas de grupo e convites de reunião com a mesma cautela que aplicariam a qualquer e-mail não solicitado, especialmente quando a mensagem carrega um tema urgente ou administrativo. A monitoração de logs de atividade de grupo e a verificação de permissões de membro são essenciais para detectar comprometimentos iniciais.
A implementação de políticas de acesso condicional que restringem a criação de grupos por usuários não privilegiados pode reduzir a superfície de ataque. Além disso, a educação do usuário sobre a verificação de remetentes em convites de calendário e a desconfiança de anexos compartilhados em grupos não solicitados são medidas críticas de defesa em profundidade.