O Relatório da Equipa Vermelha: Estão as organizações preparadas para ataques por e-mail baseados em IA?

A simulação de ataque da Equipa Vermelha apresentou phishing potenciado por AI, o esquema ClickFix e a bypass de MFA

Principais conclusões

• Uma simulação de ataque utilizando ferramentas amplamente disponíveis mostra que pode demorar apenas cinco minutos para um ataque de phishing impulsionado por IA escalar para comprometimento do endpoint e persistência do atacante, enquanto evita os controlos de segurança tradicionais.
• A simulação de ataque encadeou um e-mail de phishing, esquema fraudulento ClickFix e bypass de autenticação multifator (MFA).
• As conclusões sublinham a necessidade urgente de segurança automatizada, contínua e em tempo real em todo o ciclo de vida do ataque.

O Red Team da Barracuda Managed XDR realiza simulações internas de ameaças reais, proporcionando às equipas de segurança e aos investigadores uma visão sobre como os ataques se desenvolvem. O Relatório do Red Team faz parte da Barracuda Research — o braço de inteligência de ameaças da Barracuda.

Os componentes da cadeia de ataque

A simulação de ataque da Equipa Vermelha centrou-se nas seguintes ameaças:

Phishing alimentado por IA: Atacantes estão a utilizar grandes modelos de linguagem (LLMs) para criar mensagens altamente convincentes e personalizadas em grande escala, sem erros ortográficos ou sinais de alerta óbvios que os utilizadores foram treinados para identificar. O que antes exigia atores de ameaças qualificados agora pode ser feito por qualquer pessoa em minutos.

ClickFix: Os esquemas ClickFix fazem parte de um kit de ferramentas de atacantes em rápida evolução. Eles enganam os utilizadores a executar comandos maliciosos, apresentando mensagens de erro falsas ou instruções de "correção" que parecem legítimas. Em vez de depender de downloads ou entrega tradicional de malware, os atacantes manipulam os alvos.  

O kit de ferramentas dos atacantes modernos também inclui outras táticas semelhantes, como portais de login falsos, phishing de código QR ou permissões de aplicativos maliciosos, utilizando AI para aumentar a velocidade e o volume e maximizar a probabilidade de que os utilizadores cumpram.

Contorno de MFA: Muitos atacantes — incluindo a maioria dos kits de phishing — utilizam técnicas de adversário-no-meio (AitM) para escapar às defesas de autenticação, como a autenticação multifator (MFA). Simplificando, eles inserem-se entre a vítima e a aplicação de software e interceptam o processo de login em tempo real para capturar credenciais e tokens de sessão. 

Ilustração dos cinco minutos desde o primeiro clique no phishing até ao comprometimento total e persistência

A anatomia de um ataque por e-mail moderno e em várias fases

Fase 1: O e-mail de phishing

No nosso cenário simulado, utilizámos um LLM amplamente disponível para elaborar um e-mail de aparência realista com uma notificação de documento do SharePoint.

O nosso pedido de IA foi simples: Falsificar uma notificação do Microsoft SharePoint informando o alvo de que um colega partilhou um documento de conformidade que requer revisão imediata.

O fluxo inicial de ataque por e-mail. Imagem gerada por IA para fins de ilustração.

O LLM produziu um e-mail estruturalmente indistinguível de uma notificação legítima do SharePoint: formatação correta, tom apropriado, metadados realistas e um contexto de negócios plausível. Todo o processo levou apenas minutos.

O e-mail de phishing gerado por IA

Vários elementos tornam este email eficaz, e nenhum deles depende de a vítima ser descuidada. Incluem o uso de termos com autoridade e urgência, como "violação" e avisos de suspensão de conta. Isto pressiona o alvo a agir em vez de analisar a mensagem.

A apresentação é perfeita para a marca: imagens integradas em linha, esquema de cores exato da Microsoft (#0078d4), tipografia Segoe UI e um rodapé de privacidade com precisão de píxel correspondem a e-mails genuínos da Microsoft.

O botão "Verificar Identidade" aponta para o domínio proxy de interceção dos atacantes (AitM). À primeira vista, o URL parece legítimo, embora um utilizador vigilante possa notar a anomalia. No entanto, está oculto atrás de um botão que a maioria dos utilizadores clicará sem inspecionar.

Estágio 2: Roubo de credenciais e sessão

O e-mail de phishing chega à caixa de entrada do utilizador às 21:14 UTC.

O nosso alvo clica no link 21 minutos depois, às 21:35 UTC. É apresentado com uma página de login que se parece com a página real da Microsoft porque, funcionalmente, é. No entanto, a página é controlada pelo framework de phishing AiTM Evilginx. Evilginx está no meio a capturar tudo o que o utilizador insere.

Em 60 segundos, o utilizador inseriu as suas credenciais, às 21:36 UTC.

A página de login para um ataque de adversário no meio

O Evilginx retransmite essas credenciais para login.microsoftonline.com e aguarda a resposta da Microsoft. Tanto para a Microsoft como para o utilizador, isto parece ser uma tentativa de login normal.

Neste momento, as credenciais da vítima foram comprometidas, mas esse não é o verdadeiro prémio para os atacantes.

Às 21:37 UTC, o utilizador recebe uma resposta da Microsoft a pedir MFA.

O pedido de MFA da Microsoft é intercetado pelo Evilginx, que o transmite à vítima. O utilizador abre a sua aplicação Authenticator e conclui o MFA como provavelmente faz várias vezes por dia.

A Microsoft autentica o utilizador e devolve um cookie de sessão. Com o Evilginx no meio, o cookie de sessão vai primeiro para os atacantes e depois é reencaminhado.

Dentro de dois minutos após a vítima clicar no link de phishing, às 21:37 UTC, Evilginx capturou o seu nome de utilizador e palavra-passe, o cookie e os detalhes da sessão.

Email, palavra-passe e cookie de sessão roubados por Evilginx

Na pele dos atacantes, abrimos o nosso próprio navegador, colamos o cookie de sessão roubado e navegamos para outlook.office.com. A Microsoft vê uma sessão válida e autenticada e apresenta a caixa de correio. Da perspectiva da Microsoft, este é apenas o utilizador a continuar a sua sessão.  

Os atacantes têm acesso total à conta comprometida.

Estamos agora dentro da conta. Como atacantes, podemos ler e-mail, enviar e-mail como o utilizador, aceder ao SharePoint e OneDrive, criar regras da Caixa de entrada para ocultar a nossa atividade (ver abaixo), e consentir em aplicações OAuth maliciosas para persistência, mesmo após a sessão expirar.

Fase 3: execução do ClickFix

Na nossa simulação, adicionámos uma camada adicional ao ataque AiTM. A vítima é solicitada a realizar passos de verificação adicionais antes que o acesso seja concedido.

Às 21:38 UTC, uma nova janela aparece:

Um típico prompt ClickFix mascarado como uma "correção rápida" para verificar a identidade da vítima antes do login

Num minuto, às 21:39, a vítima clicou no botão “Copiar Código de Verificação”, resultando na colagem do comando que criámos na sua área de transferência.

Eles seguem os próximos dois passos no prompt, sem perceber que acionaram um pedido web para descarregar e executar um script PowerShell que está hospedado noutra máquina.

Sob o capô, esta técnica utiliza um método chamado “sequestro da área de transferência”. Isto elimina a necessidade de persuadir a vítima a “copiar” manualmente o comando e ajuda a mantê-lo oculto.

Em variantes mais agressivas, o código é copiado para a área de transferência das vítimas quando visitam a página, sem que seja necessária qualquer outra interação. Tudo isto é feito com algumas linhas de JavaScript, como se vê abaixo:

JavaScript utilizado para copiar texto ao mover o rato — sem necessidade de qualquer outra interação do utilizador

Depois de o conteúdo ser copiado para a área de transferência, os passos seguintes dependem de atalhos de teclado bem conhecidos do Windows. Estes incluem:

• "Win+R," que abre uma ferramenta usada para aceder rapidamente a aplicações ou locais específicos dentro do Windows. Esta ferramenta será familiar para Administradores de Sistemas, mas não para utilizadores não técnicos.
• "Win + V," um atalho frequentemente usado para colar conteúdo na Área de Transferência. O utilizador apenas pressiona "Enter" uma vez que o conteúdo é colado na caixa aberta. Isto lança um comando PowerShell ou um prompt de comando que encadeia no PowerShell.

Uma análise técnica de uma carga útil do ClickFix vista na natureza

Notas para equipas técnicas sobre características que são frequentemente encontradas nestes comandos:

• Ignorar política de execução para evitar que apareçam avisos de execução de scripts ou quaisquer pedidos de confirmação. Procure: -ep bypass, -ExecutionPolicy Bypass, -ex b
• Comandos ofuscados, incluindo acentos graves (para PowerShell) e aspas (para CMD). São geralmente ignorados pelo terminal. Também foi observada a concatenação.
• Encadeamento de execução, normalmente envolvendo CMD em PowerShell.
• Sinalizadores para garantir que as janelas estão ocultas ao iniciar. Por exemplo, “-WindowStyle Hidden” no PowerShell, que pode ser abreviado para algo tão simples como “-w h” ou “headless” no prompt de comando.
• Pedidos web, incluindo, entre outros, PowerShell “Invoke-Webrequest”, “iwr”, “DownloadString”, “Start-BitsTransfer”.
• Chamada para um website externo. Isto aparece tanto como endereços IP codificados como domínios recentemente registados que são usados como servidores de comando e controlo ou servidores de estágio que estão a hospedar malware.

Fase 4: Estabelecimento de persistência

Uma vez que o comando é executado com sucesso, a atividade pode seguir diferentes caminhos dependendo dos atacantes e dos seus objetivos.

A nossa equipa criou um script rápido e simples que estabelece persistência através de Subscrições de Eventos WMI. Isto começa às 21:40 UTC — cinco minutos após a vítima abrir o e-mail de phishing. Funciona da seguinte forma: é definido um (para fins de simulação, inofensivo) agendamento num intervalo de 60 segundos para criar e acrescentar a um documento txt. Num incidente real, este script provavelmente conteria um mecanismo de entrega que obtém a carga útil, permitindo-lhe evadir a deteção baseada em disco.

Métodos populares de persistência incluem:

• Tarefas agendadas: A carga útil cria uma tarefa agendada que é reexecutada no login do utilizador ou em intervalos definidos com privilégios elevados, muitas vezes aproveitando LOLBins (utilitários legítimos do Windows como powershell.exe, mshta.exe, rundll32.exe ou cmd.exe) para evitar a deteção. Estas tarefas persistem através de reinícios do sistema.
• Chaves de execução do registo: A carga útil adiciona um valor de registo sob HKCU\Software\Microsoft\Windows\CurrentVersion\Run (ou RunOnce para execução única). No login do utilizador, o Windows executa automaticamente o que está referenciado nestas chaves.
• Assinaturas de eventos WMI: Usando o PowerShell, os atacantes criam uma nova tarefa usando o cmdlet "Set-WmiInstance", definindo quando a tarefa é acionada e o que a tarefa é. Este é um método mais difícil de detectar para agendar tarefas em comparação com as Tarefas Agendadas, pois são mais difíceis de visualizar, não geram tantos logs e são frequentemente ignoradas inicialmente por ferramentas de resposta a incidentes.

Estágio 5: O ataque desenrola-se — escalonamento de privilégios, exfiltração de dados, encriptação e mais

Assim que os atacantes tiverem um meio fiável de acesso à firewall de rede, tentarão obter acesso privilegiado ao ambiente. Se forem bem-sucedidos, podem progredir no seu ataque para incluir exfiltração de dados, destruição ou encriptação e mais — tudo possibilitado pelo sucesso do e-mail de phishing de acesso inicial.

Passos práticos para se manter seguro

Para reduzir a exposição ao risco e mitigar o impacto de um ataque, recomenda-se que as organizações implementem o seguinte:

• MFA resistente a phishing (como chaves de segurança). As chaves de hardware funcionam apenas em websites legítimos, pelo que os atacantes não conseguem enganar os utilizadores a iniciar sessão através de páginas falsas e, em seguida, roubar as suas sessões. Essas chaves incluem YubiKeys, que oferecem aos utilizadores proteção contra sites de proxy. As YubiKeys utilizam FIDO2/WebAuthn, um protocolo que vincula a autenticação ao domínio específico que o utilizador está a visitar.
• Bloqueie a autenticação de e-mail (através dos padrões da indústria de DMARC, SPF e DKIM). Domain-based Message Authentication, Reporting & Conformance (DMARC) é a camada de política abrangente para ferramentas que verificam se o IP de um remetente está autorizado a enviar em nome de um domínio e verificam se a mensagem não foi adulterada durante o trânsito. O DMARC devidamente configurado ajuda a bloquear e-mails falsificados antes de chegarem aos utilizadores.
• Treine os utilizadores para pararem e verificarem pedidos invulgares. Especialmente qualquer coisa que lhes peça para colar comandos, "corrigir" erros ou iniciar sessão com urgência.
• Não confie nos utilizadores para detetarem e-mails maliciosos. Phishing gerado por IA parece realista e sem erros, por isso as ferramentas de segurança devem fazer mais do trabalho pesado na deteção.
• Monitorize sessões de login suspeitas e comportamentos. Os ataques AiTM utilizam tokens de sessão roubados, por isso procure logins de locais ou dispositivos invulgares ou em horários irregulares para esse utilizador.
• Bloquear ou restringir comportamentos de sistema arriscados. Limitar o acesso a ferramentas como o PowerShell, acesso à área de transferência e comandos "Executar" sempre que possível para reduzir ataques do tipo ClickFix.
• Fique atento a truques de persistência após a violação. Os atacantes frequentemente adicionam regras à caixa de entrada, tarefas agendadas ou scripts em segundo plano para permanecerem ocultos após o login.
• Utilize segurança em camadas contínua, automatizada e inteligente. Nenhum controlo isolado impede cadeias de ataques por e-mail avançadas e evasivas — é necessário ter capacidades de visibilidade e mitigação em cada etapa do ciclo de vida do ataque.

Como a Barracuda pode ajudar

A Barracuda ajuda as organizações a defenderem-se contra ataques avançados de e-mail, combinando proteção e resiliência cibernética através de e-mail, aplicações, dados e redes. Para mais informações e visão sobre o produto, consulte BarracudaONE, Barracuda Integrated Email Protection e Barracuda Managed XDR. O Barracuda Managed XDR também oferece Automated Threat Response (ATR) for email, acelerando a contenção em tempo real de ameaças ao nível da caixa de entrada.

Indicadores de Comprometimento

IOCs de Endpoint

Todos os seguintes podem ser detectados através de logs 4688 (garanta que a auditoria da linha de comando está ativada) ou através da maioria das soluções de endpoint.

• Flags de janelas ocultas: -w oculto, -w o, sem interface gráfica
• Linhas de comando ofuscadas: Crase, concatenação e codificação Base64
• Chamada para páginas web externas, frequentemente recém-registadas, acompanhadas por comandos de transferência de dados: curl -O https://example.com e DownloadString, iwr, WebClient
• Subscrições WMI: wmiprvse.exe a gerar cmd ou Powershell a intervalos regulares
• Árvore de processos suspeitos: Explorer.exe a gerar cmd.exe ou powershell.exe, um claro indicador de que o comando foi executado através da caixa de diálogo Executar. Comandos aninhados são comuns: Explorer.exe à cmd.exe à powershell.exe

IOCs de Email

• Provedores de hospedagem à prova de bala: Os VPNs são frequentemente associados a atividades suspeitas, mas também são amplamente utilizados em ambientes empresariais legítimos em todo o mundo, o que os torna um indicador ruidoso por si só. Uma tendência mais reveladora que o Barracuda Managed XDR tem vindo a acompanhar é o aumento de provedores de hospedagem à prova de bala. Estes são amplamente utilizados para atividades maliciosas, e a lista provavelmente inclui DigitalOcean, PacketHub S.A., Clouvider Limited, ReliableSite LLC, DataCamp Limited, e mais.
• Regras da caixa de entrada: Uma das ações de pós-exploração mais comuns observadas no nosso SOC é a criação de regras maliciosas na caixa de entrada. Estas são desenhadas para filtrar, ocultar ou redirecionar silenciosamente mensagens específicas, para que a vítima permaneça inconsciente de que a sua conta foi apropriadamente tomada.
  • Regras de filtragem baseadas em palavras-chave para mover automaticamente, marcar como lido ou eliminar qualquer mensagem recebida que contenha termos relacionados com o ataque como hackeado, suspeito, fraude, não autorizado, pagamento, fatura, etc.
  • Regras de reencaminhamento automático que enviam silenciosamente cópias de mensagens que correspondem a palavras-chave financeiras para um endereço externo controlado por um atacante.
  • Regras de mover para pasta que relocam mensagens sensíveis para pastas raramente verificadas, como feeds RSS, Histórico de Conversas e Arquivo.

Uma vez que estas regras operam silenciosamente e persistem mesmo após redefinições de senha (a menos que sejam explicitamente removidas), detetar e corrigir regras maliciosas na Caixa de entrada é um passo crítico em qualquer investigação de comprometimento de email.