Fri, 10 Apr 2026
← VoltarStorm-2755 tem como alvo os funcionários canadenses para redirecionar pagamentos de salários por meio de phishing e envenenamento de SEO. Eles usam páginas de login falsas do Microsoft 365 para roubar credenciais e tokens de sessão.
Um grupo de hackers com motivação financeira tem como alvo os funcionários canadenses com uma campanha sofisticada projetada para redirecionar secretamente seus pagamentos de salários para contas bancárias controladas por invasores, descobriram pesquisadores da Microsoft. Envenenamento e malvertising de SEO + phishing + AiTM O grupo, que a Microsoft rastreia como Storm-2755, começa envenenando os resultados dos mecanismos de pesquisa e exibindo anúncios maliciosos contra consultas genéricas como “Office 365”, ou mesmo erros ortográficos comuns como “Office 265”. As vítimas que clicam chegam a uma página de login do Microsoft 365 convincente, mas falsa, que rouba suas credenciais de login e faz proxy de toda a sessão de autenticação em tempo real, capturando o token de sessão emitido após o login. "O Storm-2755 aproveitou a versão 1.7.9 do cliente HTTP Axios para retransmitir tokens de autenticação para a infraestrutura do cliente, que efetivamente contornou o MFA não resistente a phishing e preservou o acesso sem exigir logins repetidos.
Esse fluxo de repetição permitiu que o Storm-2755 mantivesse essas sessões ativas e ações legítimas de proxy do usuário, executando efetivamente um ataque AiTM", explicaram os respondentes de incidentes da Microsoft. Para a maioria das vítimas, o invasor apenas manteve esse acesso silencioso em segundo plano. Mas para um número menor de contas, eles também alteraram a senha e as configurações de MFA da vítima. Dessa forma, mesmo depois que o token roubado original expirou ou foi revogado, eles ainda “possuíam” a conta.
O verdadeiro objetivo da campanha Uma vez dentro da conta de e-mail da vítima, os invasores pesquisam na caixa de correio comprometida referências a folha de pagamento, RH e finanças e, em seguida, enviam um e-mail da conta da vítima para a equipe de RH da organização solicitando um troco de “depósito direto”. Como o e-mail vem do endereço real do funcionário, o RH não tem motivos para suspeitas e se eles cumprirem e registrarem a alteração, o próximo contracheque do funcionário irá para a conta bancária do invasor, em vez da conta bancária da vítima. Antes de enviar o e-mail para o RH ou para o departamento financeiro, os invasores criam uma regra de caixa de entrada que enterra silenciosamente quaisquer respostas de RH contendo palavras como “banco” ou “depósito direto” em uma pasta oculta, para que a vítima não as veja e dê o alarme. “Onde o Storm-2755 não conseguiu realizar alterações nas informações da folha de pagamento por meio da personificação do usuário e da engenharia social do pessoal de RH, observamos um pivô para a interação direta e a manipulação manual de programas de software como serviço (SaaS) de RH, como o Workday”, acrescentou a Microsoft.
Em um ataque bem-sucedido, o Storm-2755 fez login manualmente no Workday como vítima para atualizar informações bancárias e o funcionário sofreu perdas financeiras diretas. Como impedir ataques de “piratas nas folhas de pagamento” Esta campanha específica centrou-se em comprometer os funcionários no Canadá, mas campanhas semelhantes são constantemente montadas para atingir funcionários de outros países e/ou que trabalham em empresas que operam em setores económicos específicos. A Microsoft recomenda o uso de chaves de acesso FIDO2/WebAuthn como o segundo fator de autenticação, pois elas vinculam a autenticação ao site de origem legítimo e não podem ser interceptadas por um proxy AiTM da mesma forma que o push tradicional ou o MFA baseado em OTP podem. Além disso, as organizações devem monitorar o user-agent Axios que aparece nos logs de login, observar logins não interativos no OfficeHome repetidos em intervalos de aproximadamente 30 minutos e alertar sobre regras de caixa de entrada recém-criadas que filtram palavras-chave financeiras.
As equipes de RH e de folha de pagamento também devem adotar a verificação fora da banda (por exemplo, um telefonema ou uma confirmação pessoal) para quaisquer solicitações diretas de alter ação de depósito.