Cibercriminosos exploram senhas de aplicações Google para contornar autenticação multifator

Uma operação realizada por um grupo patrocinado pelo Estado russo levou à exploração, com sucesso, do recurso App-Specific Password (ASP) da Google, superando quaisquer proteções de autenticação multifator.

A Google atribui a operação ao grupo UNC6293, que terá alegadas ligações ao APT29.

Segundo documentação do Grupo de Inteligência de Ameaças da Google, citadas pela SecurityWeek, a operação decorreu entre abril e o início de junho e envolveu emails falsos de alegados funcionários do Departamento de Estado dos EUA.

Uma das vítimas foi o escritor britânico Keir Giles, que terá trocado mais de uma dezena de emails com um remetente que se terá feito passar por uma suposta Senior Program Advisor do Departamento de Estado norte-americano com um convite aparentemente legítimo para a participação numa consulta privada.

Os cibercriminosos, revela a investigação, dedicaram semanas na construção do relacionamento com o alvo, que incluiu uma comunicação consistente, num inglês correto e com a introdução de vários endereços de email @state.gov falsos no campo de cc do email.

Com a confiança estabelecida, os cibercriminosos terão enviado um documento PDF, num papel timbrado falso em nome do Departamento de Estado dos EUA, manipulando a vítima para visitar a página de configurações da conta Google e gerar um ASP designada “ms.state.gov” e enviar de seguida o código por email para concluir com sucesso a alegada integração segura. Com este passo, os cibercriminosos tiveram acesso persistente à conta Gmail da vítima, contornando, assim, a autenticação multifator.

De acordo com o Citizen Lab – que analisou o caso – tanto o PDF como os próprios emails estavam livres de erros de linguagem mais comuns em mensagens de phishing, dificultando assim a deteção. Os investigadores acreditam que os cibercriminosos recorreram a ferramentas de IA generativa para evitar suspeitas relativamente à linguagem.

“Este foi um ataque altamente sofisticado, que exigiu a preparação de uma série de identidades falsas, contas, materiais e elementos que levaram ao engano. O invasor foi claramente meticuloso, na medida em que mesmo um utilizador vigilante dificilmente detetaria elementos ou detalhes fora do lugar”, revelou a equipa de investigadores do Citizen Lab.

Como forma de mitigar estes ataques, a Google recomenda a inscrição no seu Programa de Proteção avançada para indivíduos de alto risco.

Os especialistas de segurança aconselham também as organizações a auditarem a utilização de ASP, desativando-as, a menos que sejam utilizadas para fins específicos.

Este tipo de episódios, alertam os especialistas, representam já uma evolução significativa nas táticas de engenharia social, que culmina na adaptabilidade dos cibercriminosos para legitimar os ataques.