Uma página de phishing disfarçada de aviso de atualização do Google Meet está entregando silenciosamente os computadores Windows das vítimas a um servidor de gerenciamento controlado por um invasor. Nenhuma senha é roubada, nenhum arquivo é baixado e não há sinais de alerta óbvios.
Basta um único clique em um prompt convincente de atualização falsa do Google Meet para registrar seu PC com Windows em um sistema de gerenciamento de dispositivos controlado por invasor.
“Para continuar usando o Meet, instale a versão mais recente”
A engenharia social é quase embaraçosamente simples: um aviso de atualização do aplicativo nas cores certas da marca.
A página representa o Google Meet bem o suficiente para passar uma olhada casual. Mas nem o Atualizar agora botão nem o Saber mais link abaixo, ele chega perto do Google.
Ambos acionam um link direto do Windows usando o ms-device-enrollment: Esquema URI. Esse é um gerenciador integrado ao Windows para que os administradores de TI possam enviar à equipe um link de registro de dispositivo com um clique. O invasor simplesmente apontou para seu próprio servidor.
O que “inscrição” realmente significa para sua máquina
No momento em que um visitante clica, o Windows ignora o navegador e abre seu navegador nativo. Configurar uma conta corporativa ou escolar diálogo. Esse é o mesmo aviso que aparece quando uma equipe de TI corporativa provisiona um novo laptop.
O URI chega pré-preenchido: o campo de nome de usuário indica collinsmckleen@sunlife-finance.com (um domínio que representa Sun Life Financial), e o campo do servidor já aponta para o endpoint do invasor em tnrmuv-api.esper(.)nuvem.
O invasor não está tentando personificar perfeitamente a identidade da vítima. O objetivo é simplesmente fazer com que o usuário clique em um fluxo de trabalho de registro confiável do Windows, que concede controle do dispositivo, independentemente do nome que aparece no formulário. Campanhas como esta raramente esperam que todos se apaixonem por elas. Mesmo que a maioria das pessoas pare, uma pequena percentagem de continuação é suficiente para que o ataque tenha sucesso.
Uma vítima que clica Próximo e prosseguir com o assistente entregará sua máquina a um servidor MDM (gerenciamento de dispositivos móveis) do qual eles nunca ouviram falar.
MDM (Mobile Device Management) é a tecnologia que as empresas usam para administrar remotamente os dispositivos dos funcionários. Depois que uma máquina é registrada, o administrador do MDM pode instalar ou remover software silenciosamente, impor ou alterar configurações do sistema, ler o sistema de arquivos, bloquear a tela e limpar completamente o dispositivo, tudo sem o conhecimento do usuário.
Não há nenhum processo contínuo de malware para detectar, porque o próprio sistema operacional está fazendo o trabalho em nome do invasor.
O servidor do invasor está hospedado no Esper, uma plataforma comercial legítima de MDM usada por empresas reais.
A decodificação da string Base64 incorporada na URL do servidor revela dois objetos Esper pré-configurados: um ID de blueprint (7efe89a9-cfd8-42c6-a4dc-a63b5d20f813) e um ID de grupo (4c0bb405-62d7-47ce-9426-3c5042c62500). Representam o perfil de gerenciamento que será aplicado a qualquer dispositivo registrado.
O ms-device-enrollment: O manipulador funciona exatamente como a Microsoft o projetou e o Esper funciona exatamente como o Esper o projetou. O invasor simplesmente apontou ambos para alguém que nunca consentiu.
Sem malware, sem roubo de credenciais. Esse é o problema.
Não há nenhum executável malicioso aqui e nenhum login de phishing da Microsoft.
O ms-device-enrollment: manipulador é um recurso legítimo e documentado do Windows que o invasor simplesmente redirecionou.
Como a caixa de diálogo de registro é um prompt real do sistema Windows, em vez de uma página da Web falsificada, ela ignora os avisos de segurança do navegador e os scanners de e-mail em busca de páginas de coleta de credenciais.
A infraestrutura de comando é executada em uma plataforma SaaS confiável, portanto, é improvável que o bloqueio da reputação do domínio ajude.
A maioria das ferramentas de segurança convencionais não tem categoria para “recursos legítimos de sistema operacional apontados para infraestruturas hostis”.
A tendência mais ampla aqui é aquela que a indústria de segurança tem observado com crescente preocupação: os invasores abandonam cargas úteis de malware em favor do abuso de recursos legítimos de sistemas operacionais e plataformas de nuvem.
O que fazer se você acha que foi afetado
Como o ataque depende de recursos legítimos do sistema e não de malware, a etapa mais importante é verificar se o seu dispositivo foi registrado.
- Verifique se o seu dispositivo foi registrado:
- Abrir Configurações > Contas > Acessar trabalho ou escola.
- Se você vir uma entrada que não reconhece, especialmente uma que faça referência a sunlife-finance(.)com ou esper(.)nuvem, clique nela e selecione Desconectar.
- Se você clicou em “Atualizar agora” em updatemeetmicro(.)online e concluiu o assistente de registro, trate seu dispositivo como potencialmente comprometido.
- Execute uma solução antimalware atualizada e em tempo real para verificar se há cargas secundárias que o servidor MDM possa ter enviado após o registro.
- Se você for um administrador de TI, considere se sua organização precisa de uma política que bloqueie inscrições não aprovadas no MDM. O Microsoft Intune e ferramentas semelhantes podem restringir quais servidores MDM os dispositivos Windows podem ingressar.
Não apenas informamos ameaças: nós as removemos
Os riscos de cibersegurança nunca devem ultrapassar as manchetes. Mantenha as ameaças longe dos seus dispositivos baixando o Malwarebytes hoje mesmo.
Deseja saber mais sobre Segurança Digital & Antivírus Clique Aqui!