Barracuda full logo

Atlantis AIO: A grande plataforma 'tudo-em-um' de stuffing de credenciais

Tópicos:
31 mar. 2025
|
Christine Barry

Há uma nova ferramenta 'tudo em um' a fazer manchetes, e esta não é apenas a sua ferramenta de hacking diária. Uma ferramenta 'tudo em um' (AIO, AiO) é um serviço, software ou plataforma maliciosa que integra múltiplas funcionalidades num único sistema. Os AIOs são projetados para simplificar e agilizar atividades maliciosas baseadas em credenciais, como stuffing de credenciais e tomada de conta. A plataforma Atlantis AIO de stuffing de credenciais como serviço (CSaaS) foi descoberta no ano passado por investigadores da Sift Science, que a encontraram publicitada no serviço de mensagens Telegram

 

Capturas de ecrã móveis de anúncios Sift fornecidos por Sift Trust and Safety Architects

Capturas de ecrã móveis de anúncios Sift fornecidos por Sift Trust and Safety Architects

O Atlantis AIO é notável pelos seus serviços expansivos e módulos pré-configurados. É considerado uma escalada significativa em ciberataques baseados em credenciais devido à sua escalabilidade e design intuitivo. É também uma ameaça mais avançada devido às suas capacidades de contornar certos tipos de medidas de segurança.

O que é um AIO?

Existem muitas ferramentas de cibercrime que fazem mais do que uma coisa, mas uma ferramenta AIO refere-se geralmente a um sistema de ataque baseado em credenciais. Isso pode mudar à medida que o panorama evolui, mas é assim que é usado hoje. Podemos esclarecer a distinção comparando AIOs com outras classificações:

Ferramenta

Função Principal

Comparação com Atlantis AIO

Classificação

Ferramenta Tudo-em-Um (AIO)
(por exemplo, Atlantis AIO)

Automatiza o stuffing de credenciais em mais de 140 plataformas (email, banca, streaming, etc.) usando credenciais roubadas.

Semelhante ao Atlantis AIO: Foca no preenchimento de credenciais e na tomada de contas através de automação. O design modular permite uma adaptação rápida a novas plataformas e medidas de segurança.

Ferramenta Tudo-em-Um (AIO) / Ferramenta Baseada em Credenciais

Kit de Exploração Angler

Distribui malware explorando vulnerabilidades de software (por exemplo, falhas no navegador/plugin).

Alveja vulnerabilidades de software para instalar malware, ao contrário dos ataques baseados em credenciais do Atlantis AIO. Utiliza ofuscação, zero-days e infeções sem ficheiros para evitar deteção.

Kit de Exploração

THC-Hydra

Quebra de senha por força bruta para protocolos de rede (SSH, FTP, HTTP, etc.).

Concentra-se em quebrar passwords fracas para serviços de rede, enquanto o Atlantis AIO testa credenciais roubadas em várias plataformas web. O Hydra é específico para protocolos, enquanto o Atlantis é independente da plataforma.

Recuperador de Senha de Rede/Recuperação de Senha

Kit de Ferramentas de Engenharia Social (SET)

Cria ataques de engenharia social (phishing, spoofing de SMS, websites falsos).

Explora a psicologia humana em vez de vulnerabilidades técnicas. Ao contrário dos testes automatizados de credenciais do Atlantis AIO, o SET baseia-se em enganar os utilizadores para revelar credenciais.

Framework de Engenharia Social

Caim e Abel

Recuperação de senha (via sniffing, força bruta) e análise de rede para Windows.

Concentra-se na extração de senhas de sistemas/redes locais (por exemplo, Wi-Fi, credenciais em cache). Atlantis AIO opera em escala em plataformas externas, enquanto Cain e Abel tem como alvo ambientes internos.

Ferramenta de Recuperação de Senhas e Análise de Redes

As ferramentas de ataque são distinguidas pelas suas funções principais, o que facilita para os profissionais de segurança rastrear, analisar e defender-se contra ameaças.

A primeira geração de ataques de credenciais apareceu na década de 2000. Estes foram concebidos para ataques de força bruta e 'teste de credenciais', que é uma classe diferente de credential stuffing. Estas ferramentas eram frequentemente limitadas a ataques de uma única plataforma, e os atores de ameaças geralmente atacavam servidores de email e FTP. Os avanços na automação na década seguinte melhoraram a eficácia das ferramentas de ataque de credenciais, e o aumento do desenvolvimento de software modular acelerou a implementação de ataques multivetoriais/multifuncionais. Em vez de quebrar a força bruta de uma única plataforma, os atores de ameaças podiam implementar um ataque central com módulos para diferentes alvos, explorações e vetores de ataque. Mais importante ainda, podiam alterar e melhorar os módulos conforme desejado.

Essas melhorias continuaram, razão pela qual estamos agora a enfrentar esta enorme plataforma CSaaS, Atlantis AIO.

Porque o stuffing de credenciais?

Não podemos apreciar o impacto desta nova plataforma sem compreender o impacto do crime que ela facilita. Manter credenciais seguras é genuinamente uma das áreas mais importantes da cibersegurança. É por isso que a indústria de segurança está tão focada em tópicos como zero trust access, o princípio do menor privilégio (PoLP), autenticação multifator (MFA) e proteção contra phishing.

A forma mais comum para os agentes de ameaça acederem aos seus sistemas e contas online é simplesmente iniciar sessão com credenciais roubadas. O Relatório de Investigações de Violações de Dados da Verizon 2024 (DBIR), cerca de 77% das violações de aplicações web são possibilitadas por credenciais roubadas.

 

Principais ações de hacking em violações de Ataques Básicos a Aplicações Web

Principais ações de hacking em violação de ataques básicos a aplicações web, do Verizon DBIR (Figura 41)

Vamos considerar como estas credenciais são roubadas. O phishing já é uma ameaça principal e continua a crescer. As plataformas de phishing-como-serviço e os botnets de phishing aceleram esta atividade, e é importante lembrar que um ataque de email de phishing não tenta apenas roubar credenciais. A maioria é projetada para instalar malware como ransomware ou ladrões de informação que irão expandir o alcance do crime. Muitas credenciais são roubadas através de técnicas de dumping de credenciais durante um crime em progresso. Centenas de milhões de conjuntos de credenciais foram comprometidos através das muitas violações de dados corporativos para as quais não temos detalhes.

O stuffing de credenciais é o ataque baseado em credenciais mais bem-sucedido porque se baseia em credenciais de login já roubadas em ataques anteriores. É por isso que nunca deve reutilizar senhas, mesmo quando pensa que é inofensivo.

 

Ilustração de um ataque de preenchimento de credenciais, via OWASP

Ilustração de um ataque de preenchimento de credenciais, via OWASP

O ciclo de roubo de credenciais

Credenciais são um grande negócio, e o roubo de credenciais é cíclico. Aqui está uma visão simples de como isso funciona:

Comprometimento inicial: As credenciais são roubadas através de e-mails de phishing, malware infostealer, violações de dados ou algum outro método.

Colheita e agregação: As credenciais roubadas são embaladas para distribuição ou venda num fórum obscuro. Os cibercriminosos podem classificar estas credenciais por domínio ou empresa e processá-las num formato de alto valor e de fácil consumo. Os agentes de ameaça como o ransomware Medusa roubam credenciais para os seus próprios ataques. Eles podem planejar vender ou distribuir as credenciais gratuitamente após isso.

Vendas e distribuição: Muitas vezes verás os Corretores de Acesso Inicial (IABs) a comprar credenciais roubadas para poderem iniciar os seus próprios ataques baseados em credenciais. Os IABs utilizam as credenciais para obter acesso a alvos de alto valor e, em seguida, vendem a informação a outros agentes de ameaça. Isto permite aos agentes de ameaça comprar o acesso a um sistema, em vez de apenas comprar credenciais que possam funcionar. Os IABs fazem parte da cadeia de fornecimento do cibercrime. Os agentes de ameaça também podem usar credenciais compradas para outros tipos de ataques, dependendo das informações incluídas na lista.

Ataques de preenchimento de credenciais: Outros atores maliciosos compram estas listas e utilizam ferramentas automatizadas como o Atlantis AIO para lançar ataques de preenchimento de credenciais. Em termos simples, estes ataques tentam iniciar sessão em diferentes serviços utilizando estas credenciais roubadas para verificar se as pessoas usaram a mesma palavra-passe para várias contas.

Comprometimento repetido de contas: Alguns conjuntos de credenciais funcionarão, o que nos leva de volta às fases iniciais de colheita e venda de mais credenciais.

O ciclo de roubo de credenciais é auto-sustentável porque as pessoas reutilizam senhas em vários serviços e as credenciais geralmente permanecem disponíveis por muito tempo após terem sido comprometidas.

 

Postagem no Breachforums oferecendo venda de dados roubados conhecidos como "Antipublick Collection"

Publicação no Breachforums oferecendo venda de dados roubados conhecidos como "Coleção Antipublick" através do DarkWebInformer

Existem bilhões de conjuntos de credenciais roubadas disponíveis na dark web, e prontamente acessíveis através de listas como RockYou2024 ou Collection #1 , e um estudo de 2022 estimou que os ataques de preenchimento de credenciais têm uma taxa de sucesso de 0,2 a 2% . Essa taxa de sucesso flutua, mas é baseada em um conjunto de dados que continua a crescer. Do ponto de vista de um ator de ameaça, conjuntos de credenciais E acesso a uma rede são dois fluxos de renda diferentes, portanto, este tipo de crime pode ser a base de uma operação lucrativa.

Atlantis AIO

O dano causado por ataques baseados em credenciais é a razão pela qual o Atlantis AIO pode ser um problema sério. Esta plataforma automatiza ataques de preenchimento de credenciais em várias plataformas, incluindo serviços de e-mail, sites de comércio eletrónico, bancos, VPNs e serviços de entrega de alimentos, e agora faz parte da cadeia de fornecimento para grupos de ransomware e ameaças persistentes avançadas (APTs). Eis porque é considerado tão perigoso:

A ferramenta é fácil de usar, permitindo que até mesmo atacantes novatos executem ataques sofisticados sem precisar de amplo conhecimento técnico. Esta acessibilidade reduz a barreira para novos atores de ameaça se envolverem em crimes baseados em credenciais. Também facilita a iniciação de ataques por criminosos experientes.

Atlantis AIO tem uma estrutura modular, e os proprietários oferecem módulos pré-configurados que visam aproximadamente 140 plataformas. Esta modularidade permite que os atacantes alternem facilmente entre diferentes tipos de ataques e plataformas. Também facilita para os desenvolvedores adicionar novos alvos e adaptar ataques existentes a novas medidas de segurança.

A ferramenta é concebida para ‘as-a-service’ eficiência e escalabilidade. Pode testar milhões de nomes de utilizador e palavras-passe roubadas em rápida sucessão, facilitando a execução de ataques em larga escala com um esforço mínimo por parte dos atacantes.

O Atlantis AIO inclui módulos de ataque especializados para testes de contas de email, ataques de força bruta e processos de recuperação. Estes módulos podem contornar medidas de segurança como CAPTCHAs e automatizar processos de redefinição de senha. Isto simplifica e otimiza ataques de sequestro de contas.

Testes de conta de email: Estes módulos facilitam ataques de força bruta para plataformas de email populares. Estes facilitam ataques de apropriação de conta, incluem funcionalidades de apropriação de caixa de entrada que suportam crimes adicionais como roubo de dados e campanhas de phishing ou spam.

Ataques de força bruta: Estes módulos automatizam a ‘adivinhação’ de palavras-passe.

Módulos de recuperação: Estas são ferramentas para contornar medidas de segurança como CAPTCHA, e funcionam com serviços específicos como eBay e Yahoo. O Atlantis AIO também inclui uma função de ‘recuperação auto-doxer’, que se emparelha com a ferramenta que derrota o desafio CAPTCHA, permitindo assim que atores mal-intencionados alterem senhas e impeçam o acesso do utilizador legítimo.

ilustração de um ataque de força bruta que percorre variações de senhas, via Hashed Out

ilustração de um ataque de força bruta que percorre variações de senhas, via Hashed Out

A funcionalidade de recuperação de auto-doxing é uma das principais características do Atlantis AIO. Recolhe todos os dados disponíveis sobre a vítima e utiliza os dados recolhidos para ultrapassar questões de segurança. Estes dados podem ser de fontes públicas como redes sociais, ou podem provir de dados roubados em fugas anteriores. A função de recuperação de auto-doxing utiliza esta informação para adivinhar as respostas às perguntas de segurança. Se funcionar, o Atlantis AIO pode redefinir a palavra-passe e obter controlo total antes que a vítima perceba.

É difícil calcular quanto dano será causado com o Atlantis AIO. Não é a primeira ferramenta de ataque automatizado de credenciais, e não é o primeiro crime oferecido como serviço. O Atlantis AIO pode ter uma vida longa, ou pode sair do ar antes de causar mais danos. Independentemente de como vive ou morre, o Atlantis AIO pode desencadear um momento decisivo nos ataques baseados em credenciais. O stuffing de credenciais atingiu níveis sem precedentes em 2024, quando os investigadores observaram pela primeira vez o Atlantis AIO oferecido no Telegram. Embora não tenha sido uma ferramenta dominante em 2024, não podemos ignorar esta plataforma como contribuindo para esse aumento.

O que pode fazer

  • Pare de reutilizar as suas palavras-passe. Essa é a principal.
  • Use um gestor de palavras-passe que lhe permita armazenar palavras-passe únicas e complexas de forma amigável.
  • Utilize autenticação multifator sempre que possível.
  • Considere mudar para um método de autenticação sem senha.
  • Evite wi-fi público para logins ou transações sensíveis.
  • Esteja atento a tentativas de phishing. Aprenda a reconhecer emails, links e sites suspeitos.
  • Monitorizar credenciais comprometidas. A maioria dos gestores de palavras-passe inclui isto no serviço.

O que a sua empresa pode fazer

Além de suportar todas as opções acima, as empresas podem empregar camadas adicionais de segurança contra ataque de preenchimento de credenciais:

  • Implemente a limitação de taxa e a redução para limitar o número de tentativas de login permitidas por uma conta ou um endereço IP.
  • Use CAPTCHA e outros testes de desafio-resposta. Isto funciona melhor quando combinado com outras defesas.
  • Monitorizar o comportamento de login com inteligência artificial (IA) e análise. A análise comportamental pode estabelecer um padrão para os logins dos utilizadores e detetar atividade invulgar, como stuffing de credenciais, antes que tenha sucesso.
  • Implemente firewalls de aplicações web para defender contra este tipo de ataque.
  • Adote autenticação sem senha, como biometria ou códigos únicos.
  • Utilize um programa de sensibilização para segurança para educar os colaboradores sobre fraudes, phishing e boas práticas.
  • Monitorizar a existência de credenciais comprometidas associadas ao seu domínio. Os serviços de inteligência de ameaças irão monitorizar ativamente fóruns da darkweb e outros canais em busca de informações relacionadas com o seu domínio.

Barracuda pode ajudar

A plataforma avançada de segurança de rede da Barracuda pode ajudá-lo a implementar um sistema de autenticação moderno e sem palavra-passe, que permite aos utilizadores acederem à sua rede e recursos de forma simples e transparente — ao mesmo tempo que impede eficazmente a entrada de intrusos maliciosos.Dê uma vista de olhos e comece com uma versão de teste gratuita.

 

Christine Barry

Christine Barry, Contadora Sénior de Histórias de Cibersegurança e Gestora de Conteúdos na Barracuda. Antes de se juntar à Barracuda, Christine foi engenheira de campo e gestora de projetos para clientes K12 e SMB durante mais de 15 anos. Possui várias credenciais em tecnologia e gestão de projetos, uma Licenciatura em Artes e um Mestrado em Administração de Empresas. É graduada pela Universidade de Michigan.

Conecte-se com a Christine no LinkedIn aqui.

 

Junte-se à nossa comunidade no Reddit!

Artigos Relacionados:
Resumo de Malware: Phishing astuto, BYOVD e RATs Android
Resumo de Malware: Phishing astuto, BYOVD e RATs Android
 Threat Spotlight: kit de phishing Tycoon revela novas técnicas para ocultar links maliciosos
Threat Spotlight: kit de phishing Tycoon revela novas técnicas para ocultar links maliciosos
 Inquérito vê declínio global nos custos de violação de dados
Inquérito vê declínio global nos custos de violação de dados
 WolfGPT: A "IA Avançada" para Malware
WolfGPT: A "IA Avançada" para Malware
Pesquisar o blogue

O Relatório de Perspetivas sobre Ransomware 2025

Principais conclusões sobre a experiência e o impacto do ransomware nas organizações em todo o mundo

Obtenha o relatório

Subscreva o Blogue Barracuda.

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Segurança de Vulnerabilidades Geridas: Remediação mais rápida, menos riscos, conformidade mais fácil

Veja como pode ser fácil encontrar as vulnerabilidades que os cibercriminosos querem explorar

ASSISTA AO WEBINAR

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.