Vamos apresentar nossas inovações mais recentes em segurança da IA no Okta Showcase Confirme sua presença
Teste Gratuito Fale conosco

Serviços de mensagens instantâneas usados indevidamente para redirecionamento de phishing


Colaborador:
Moussa Diallo

15 julho 2025 Tempo de leitura: ~

Tópicos

Social Engineering, Platform Abuse, MFA Downgrade, Credential Phishing, Threat Intelligence

Índice

Resumo Executivo

O Okta Threat Intelligence observou um agente de engenharia social abusando dos serviços de mensagens de locatários Slack controlados por atacantes para redirecionar usuários-alvo para proxies de phishing AitM.

Desde julho de 2025, observamos um cluster de atividade de ameaças, rastreado
como O-UNC-031, que usou essas técnicas para atingir empresas nos setores de criptomoeda, fintech e gerenciamento de relacionamento com o cliente (CRM).

O agente de ameaças emprega técnicas sofisticadas, incluindo o uso de proxy AitM (Adversário-no-Meio) Evilginx, para coletar credenciais de usuários.

O objetivo principal parece ser o acesso não autorizado a contas corporativas.

Análise de Ameaças

Abuso de serviços de mensagens do Slack

Um elemento central da cadeia de ataque é o uso indevido de recursos legítimos do Slack. O grupo O-UNC-031 cria seus próprios espaços de trabalho no Slack, que servem como a principal plataforma para enviar iscas de phishing para usuários-alvo.

Para aumentar a credibilidade de suas comunicações maliciosas, o agente de ameaças se passa por administradores legítimos e outros funcionários das empresas-alvo.

Essa personificação assume a forma de inserir os nomes desses indivíduos como o "administrador" de espaços de trabalho Slack controlados por atacantes. Os agentes de ameaça reforçam ainda mais o engano ao carregar fotos de perfil dos indivíduos personificados, provavelmente obtidas de informações disponíveis publicamente.

Uma vez que o espaço de trabalho malicioso do Slack é configurado, os invasores convidam usuários-alvo para entrar no espaço de trabalho. Observamos convites enviados tanto para os endereços de e-mail corporativos quanto para os pessoais dos usuários-alvo.

Independentemente de o usuário-alvo aceitar este convite, o mero ato de convidar o usuário usando métodos de comunicação confiáveis (os recursos de notificação do Slack) cria oportunidades atraentes para phishing.

O agente de ameaças incorpora links de phishing maliciosos diretamente em notificações de e-mail legítimas do Slack, tornando significativamente mais desafiador para os alvos discernir a intenção maliciosa.

O agente de ameaça envia essas mensagens de phishing especialmente elaboradas por meio de mensagens diretas ou por meio de menções @canal para usuários-alvo de dentro do espaço de trabalho controlado pelo invasor. As notificações enviadas do Slack contêm links de phishing que redirecionam os usuários para páginas falsas de autenticação ou login da empresa descritas abaixo.

Os domínios de phishing que observamos usaram os seguintes padrões:

  • okta-integrations.com
  • <target>-onelogin.com
  • <target>admin.io
  • <target>-okta.com
  • slack-<target>.com
  • <target>employees.com
  • <target>okta.com

Pretextos comuns de engenharia social que observamos incluem:

  • Informar os alvos sobre uma suposta mudança no "sistema de processamento de folha de pagamento", exigindo que eles "conectem sua conta Okta ao novo sistema de folha de pagamento".
  • Notificando os destinatários sobre o seu "desempenho excecional" e a inclusão num novo "novo espaço de trabalho exclusivo no Slack", solicitando-lhes que conectem a sua conta Okta.
  • Exemplos de URLs de phishing usados em iscas que observamos incluíram:
    • https://<phishing domain>/slack/connection/2138-4f92-acb7-bk51/,
    • https://<phishing domain>/integration/slack/<target>/
    • https://<phishing domain>/integration/payroll/<target>/

Notavelmente, um ataque de phishing que testamos em nosso próprio ambiente não exigiu que o usuário-alvo ingressasse no espaço de trabalho para receber links para páginas de phishing:

  • O espaço de trabalho do Slack permitia que um usuário autenticado enviasse mensagens diretas (DMs) para um usuário que ainda não havia aceitado um convite para entrar no canal.
  • O workspace do Slack enviava notificações por e-mail ao usuário convidado toda vez que ele recebia uma DM no workspace, mesmo que ainda não tivesse aceitado o convite.
  • Ao habilitar o Markdown (chamado de “Markup” no Slack), conseguimos modificar o texto que aparece em um hiperlink para fazer com que um URI malicioso pareça benigno. Observamos invasores usando este método de decepção.

O Slack removeu os locatários controlados pelo atacante que observamos nesta campanha.

Phishing Adversário-no-Meio

Para contornar as proteções tradicionais de MFA, o agente de ameaça implanta o Evilginx, um proxy de phishing AitM. Esta ferramenta permite-lhes intercetar e roubar credenciais, incluindo tokens de autenticação multifatorial (MFA). O Evilginx não é eficaz, no entanto, contra clientes Okta quando os usuários estão inscritos no Okta FastPass, chaves de acesso ou cartões inteligentes e a resistência ao phishing é aplicada na política.

O Okta Threat Intelligence observou o Evilginx empregado para imitar uma variedade de páginas de login, como widgets de Login Okta e outros portais de autenticação de empresas visadas. Dito isso, não podemos descartar o uso de kits de phishing adicionais por este agente de ameaças.

página de phishing se passando pela Okta Figura 1: Uma página de phishing O-UNC-031 se passando pela Okta

Sem FastPass, por favor, estamos tentando praticar phishing com você

A Okta Threat Intelligence observou iscas de phishing nesta campanha que instruíam explicitamente os alvos a não utilizarem o recurso “Okta FastPass”.

isca de phishing enviada por meio de uma notificação do Slack Figura 2: Uma isca de phishing O-UNC-031 enviada através de uma notificação do Slack

Isso indica que o agente de ameaças está ciente de que o Okta FastPass é capaz de bloquear e detectar tentativas de phishing AitM, mas igualmente que alguns clientes da Okta não aplicam resistência a phishing em todas as políticas de autenticação. Quando a resistência a phishing não é aplicada, um agente de ameaças pode tentar convencer um usuário a fazer login usando um fator de garantia inferior (Push, OTP, SMS etc.).

(Nota do editor: para impor resistência a phishing, um administrador deve verificar a restrição de fator de posse “resistente a phishing”, conforme a imagem abaixo.)

Captura de tela de uma regra de política de autenticação do Okta identidade Engine Figura 2: Captura de tela de uma regra de política de autenticação do Okta Identity Engine

Outras táticas e procedimentos

Os domínios de phishing usados por esse agente de ameaças eram frequentemente hospedados em servidores privados virtuais (VPSs) adquiridos de serviços como o BitLaunch. O uso de provedores como o BitLaunch é vantajoso para o agente de ameaças devido ao seu suporte para pagamentos com criptomoedas, o que aumenta o anonimato, e a capacidade de implantar rapidamente VPS para campanhas de curta duração. Da mesma forma, os domínios são normalmente registrados por meio da NICENIC INTERNATIONAL, provavelmente favorecida pelo agente de ameaças porque também aceita pagamentos com criptomoedas e pode oferecer procedimentos de resposta a abusos percebidos como brandos ou lentos, ou recursos de privacidade específicos.

As informações WHOIS para esses domínios foram observadas incluindo as seguintes informações de registrante:

  • Estado/Província do Registrante: kond
  • País do registrante: AW

Após a coleta bem-sucedida das credenciais de usuário de um alvo, foi observado que o O-UNC-031 usa Mullvad VPN e IPs residenciais para suas tentativas de autenticação nas organizações visadas.

Resposta a Ameaças

O que estamos fazendo:

Estamos ativamente engajados nas seguintes atividades para mitigar essa ameaça:

  • Monitoramento contínuo de domínios de phishing recém-registrados e infraestrutura associada a esta campanha.
  • Apresentar proativamente relatórios de abuso aos registradores e provedores de hospedagem relevantes para iniciar solicitações de remoção para sites maliciosos identificados.
  • Fornecer orientação e assistência às Organizações para aprimorar a segurança de seus ambientes Okta e investigar qualquer atividade suspeita relacionada a contas potencialmente comprometidas.

Controles de proteção

Recomendações para clientes

  • Inscreva usuários em autenticadores fortes, como Okta FastPass, FIDO2 WebAuthn e cartões inteligentes.
  • Reforce a resistência ao phishing nas políticas de autenticação e desative os métodos de login mais fracos.
  • As políticas de autenticação Okta também podem ser usadas para restringir o acesso a contas de usuário com base em uma variedade de pré-requisitos configuráveis pelo cliente. Recomendamos que os administradores restrinjam o acesso a aplicativos confidenciais a dispositivos que são gerenciados por ferramentas de Endpoint Management e protegidos por ferramentas de segurança de endpoint. Para acesso a aplicativos menos confidenciais, exija dispositivos registrados (usando o Okta FastPass) que exibam indicadores de higiene básica.
  • Negue ou exija maior garantia para solicitações de redes raramente usadas. Com as Zonas de Rede Okta, o acesso pode ser controlado por localização, ASN (Número de Sistema Autônomo), IP e Tipo de IP (que pode identificar proxies de anonimato conhecidos).
  • As avaliações de Comportamento e Risco do Okta podem ser usadas para identificar solicitações de acesso a aplicativos que se desviam de padrões estabelecidos anteriormente de atividade do usuário. As políticas podem ser configuradas para fazer um aumento de nível ou negar solicitações usando este contexto.
  • Treinar usuários para identificar indicadores de e-mails suspeitos, sites de phishing e técnicas comuns de engenharia social usadas por invasores. Facilitar para que os usuários relatem problemas potenciais configurando Notificações ao Usuário Final e Relatório de Atividade Suspeita.
  • Documente, divulgue e siga um processo padronizado para validar a identidade de usuários remotos que entram em contato com o pessoal de suporte de TI e vice-versa. Adote uma abordagem de "Zero privilégios permanentes" para acesso administrativo. Atribua aos administradores Funções de Administrador Personalizadas com as permissões mínimas necessárias para as tarefas diárias e exija autorização dupla para acesso JIT (just-in-time) a funções mais privilegiadas.
  • Aplique a ligação de sessão de IP a todas as apps administrativas para evitar a reprodução de sessões administrativas roubadas.
  • Ative Ações Protegidas para forçar a reautenticação sempre que um usuário administrativo tentar executar ações confidenciais.

Observando e respondendo à infraestrutura de phishing:

  • Analise os registros de aplicativos (registros Okta, web proxies, sistemas de e-mail, servidores DNS, firewalls) em busca de qualquer evidência de comunicação com domínios suspeitos.
  • Monitore os domínios regularmente para ver se o conteúdo muda.
  • Se o conteúdo hospedado no domínio violar direitos autorais ou marcas legais, considere fornecer evidências e emitir uma solicitação de remoção junto ao registrador de domínio e/ou provedor de hospedagem na web.

Apêndice A: Indicadores de comprometimento

Esta é uma investigação em andamento, e IOCs adicionais podem ser identificados à medida que a campanha evolui. Recomenda-se que as organizações permaneçam vigilantes e implementem as estratégias de mitigação recomendadas. Abaixo estão os IOCs observados.

TipoIndicadorComentárioVisto em
endereço de IP157.245.242[.]172Infraestrutura de phishing11 de julho de 2025
endereço de IP157.245.227[.]25Infraestrutura de phishing9 de jul. de 2025
endereço de IP157.245.129[.]184Infraestrutura de phishing9 de jul. de 2025
endereço de IP64.190.113[.]119Infraestrutura de phishing4 de jul. de 2025
endereço de IP157.245.134[.]111Infraestrutura de phishing4 de jul. de 2025
endereço de IP167.99.236[.]196Infraestrutura de phishing3 de jul. de 2025
endereço de IP206.188.197[.]224Infraestrutura de phishing2 de jul. de 2025
endereço de IP50.189.65[.]60Infraestrutura de phishing8 de julho de 2025
Provedor de VPNMullvad VPNProvedor de VPN2025-07
WhoiskondEstado/Província do Registrante2025-07
WhoisAWPaís do registrante 2025-072025-07


Indicadores adicionais também estão disponíveis em um aviso não editado que os clientes da Okta podem baixar em security.okta.com.

Uma nota sobre a linguagem de estimativa
As equipes de Okta Threat Intelligence usam os seguintes termos para expressar probabilidade ou como delineado na Diretiva 203 da Comunidade de Inteligência do Escritório do Diretor de Inteligência Nacional dos EUA - Padrões Analíticos.

ProbabilidadeQuase
sem chance		Muito
improvável		improvávelAproximadamente
igual probabilidade		ProvavelmenteMuito
provável		Quase
certo(a)(mente)
ProbabilidadeRemotoAltamente
improvável		ImprovávelAproximadamente
chances iguais		ProvávelAltamente
provável		Quase
Certeza
Porcentagem1-5%5-20%20-45%45-55%55–80%80-95%95-99%

Continue sua jornada de identidade

Inicie o teste gratuito hoje mesmo ou entre em contato com nossa equipe para falar sobre suas necessidades exclusivas.

Começar
Fale conosco