**Storm-2755** está realizando ataques de pirataria de folha de pagamento roubando os pagamentos de salários de funcionários canadenses após obter acesso não autorizado às suas contas. ### Metodologia de Ataque AiTM Os atacantes empregam páginas de login maliciosas do **Microsoft 365** para roubar os tokens de autenticação e cookies de sessão das vítimas. Isso é alcançado redirecionando usuários para domínios como `bluegraintours[.]com`, que hospedam páginas web maliciosas disfarçadas de formulários de login legítimos do **Microsoft 365**. Essas páginas maliciosas são frequentemente empurradas para o topo dos resultados de mecanismos de busca através de malvertising ou técnicas de SEO poisoning. Essa tática permite que o **Storm-2755** contorne a autenticação multifator (MFA) através de ataques adversary-in-the-middle (AiTM). Em vez de reautenticar, os atacantes reproduzem tokens de sessão roubados. >"Em vez de apenas coletar nomes de usuário e senhas, os frameworks AiTM proxy todo o fluxo de autenticação em tempo real, permitindo a captura de cookies de sessão e tokens de acesso OAuth emitidos após a autenticação bem-sucedida", explicou a **Microsoft**. >"Devido a esses tokens representarem uma sessão totalmente autenticada, os atores de ameaça podem reutilizá-los para obter acesso aos serviços da Microsoft sem serem solicitados por credenciais ou MFA, contornando efetivamente proteções MFA legadas que não foram projetadas para serem resistentes a phishing."  *Fluxo de ataque do Storm-2755 (Microsoft)* ### Táticas Pós-Comprometimento de Conta Uma vez que uma conta é comprometida, os atacantes criam regras de caixa de entrada para mover automaticamente mensagens de funcionários do departamento de recursos humanos contendo palavras-chave como "depósito direto" ou "banco" para pastas ocultas. Isso impede que as vítimas notem a atividade fraudulenta. Em seguida, eles procuram por termos como "folha de pagamento", "RH", "depósito direto" e "finanças" e enviam e-mails para o pessoal de recursos humanos com assuntos como "Dúvida sobre depósito direto" para enganá-los a atualizar as informações bancárias. Se a engenharia social falhar, os atacantes fazem login diretamente em plataformas de software de RH como o **Workday**, usando a sessão roubada para atualizar manualmente os detalhes de depósito direto.  *Storm-2755 enviando e-mail para o pessoal de RH (Microsoft)* ### Estratégias de Mitigação Para se defender contra ataques AiTM e de pirataria de folha de pagamento, a **Microsoft** recomenda: * Bloquear protocolos de autenticação legados. * Implementar MFA resistente a phishing. * Revogar tokens e sessões comprometidos imediatamente após a detecção. * Remover regras de caixa de entrada maliciosas. * Redefinir métodos de MFA e credenciais para todas as contas afetadas. ### Ataques Anteriores de Folha de Pagamento Em outubro, a **Microsoft** desmantelou uma campanha semelhante de folha de pagamento visando contas do **Workday** desde março de 2025. Essa campanha, conduzida pelo **Storm-2657**, visou funcionários universitários nos Estados Unidos, sequestrando pagamentos de salários usando e-mails de phishing e táticas AiTM para roubar códigos de MFA e comprometer contas do Exchange Online. Ataques de pirataria de folha de pagamento são uma forma de golpes de comprometimento de e-mail comercial (BEC). O Internet Crime Complaint Center (IC3) do FBI relatou mais de 24.000 reclamações de fraude BEC no ano passado, resultando em perdas superiores a US$ 3 bilhões.