Post by Cysfera

🚨ALERTA DE SEGURANÇA – CAMPANHA ATIVA DE PHISHING (AiTM)🚨 A Cysfera alerta para uma campanha ativa de Adversary-in-the-Middle (AiTM), associada ao grupo Storm-2657 (“Payroll Pirates”), que está comprometendo contas corporativas para **desvio de salários via sistemas de folha de pagamento. 🔍O que está acontecendo? Atacantes estão utilizando páginas de phishing sofisticadas para interceptar credenciais e códigos de MFA em tempo real, permitindo acesso a plataformas como Workday e WorkBrain via Entra ID, mesmo com MFA habilitado. 🎯 Principais sinais da campanha: * Logins vindos de VPNs/hosting providers * Dispositivos não registrados no Entra ID * User-Agents falsos (dispositivos antigos com versões impossíveis de Android) * Acesso focado exclusivamente em aplicações de folha de pagamento * Sessões persistentes sem novo desafio de MFA 💥 Riscos após comprometimento: * Alteração de dados bancários para desvio de salários * Criação de regras de e-mail para ocultar notificações * Inclusão de novos métodos de MFA pelo atacante * Propagação de phishing interno 🛡️ Recomendações urgentes: * Exigir dispositivos gerenciados/compliant via Conditional Access * Adotar MFA resistente a phishing (FIDO2, Windows Hello, certificados) * Revisar acessos recentes e eventos de alteração de pagamento * Verificar regras suspeitas em caixas de e-mail 📩 Precisa de ajuda para avaliar ou proteger seu ambiente? Entre em contato com nosso time: https://lnkd.in/df_P4mng A Cysfera está acompanhando ativamente essa campanha e pode apoiar na detecção, resposta e hardening do ambiente. #CyberSecurity #Phishing #IdentitySecurity #EntraID #Cysfera #ThreatIntelligence