Um grupo de crimes cibernéticos identificado como Storm-2657 tem como alvo funcionários de universidades dos EUA desde março de 2025, usando ataques de “piratas de folha de pagamento” para comprometer contas e sequestrar pagamentos de salários por meio de táticas sofisticadas de engenharia social destinadas a contornar medidas de segurança. Analistas de Threat Intelligence da Microsoft que descoberto a campanha observou que os atores da ameaça têm como alvo específico as contas do Workday para desvio de folha de pagamento. Os analistas observaram, no entanto, que os métodos de ataque não são exclusivos de uma plataforma, indicando que outros sistemas de software como serviço (SaaS) de recursos humanos (RH) de terceiros também podem ser vulneráveis a técnicas de infiltração semelhantes. O foco permanece nas plataformas que lidam com dados confidenciais de funcionários e transações financeiras. Segundo relatório da Microsoft, a escala da operação foi significativa. “Observamos 11 contas comprometidas com sucesso em três universidades que foram usadas para enviar phishing e-mails para quase 6.000 contas de e-mail em 25 universidades”, afirmou a empresa, detalhando a natureza generalizada do esforço de phishing. O relatório esclarece explicitamente que as violações bem-sucedidas não são o resultado de uma vulnerabilidade de software dentro da própria plataforma Workday. Em vez disso, o sucesso dos invasores depende de uma combinação de engenharia social avançada e falhas de segurança nas instituições visadas. a plataforma ou produtos Workday, mas sim atores de ameaças motivados financeiramente usando táticas sofisticadas de engenharia social e aproveitando a completa falta de autenticação multifator (MFA) ou falta de MFA resistente a phishing para comprometer contas.” Para executar os ataques, o Storm-2657 cria e-mails de phishing personalizados para cada alvo, para aumentar sua credibilidade e a probabilidade de sucesso. Os temas desses e-mails são variados e pensados para provocar uma resposta imediata do destinatário. Exemplos dessas comunicações enganosas incluem avisos urgentes sobre surtos de doenças no campus, relatórios confidenciais sobre suposta má conduta do corpo docente e e-mails que se fazem passar pelo reitor da universidade. Outras iscas envolvem mensagens supostamente do RH, compartilhamento de informações sobre remuneração e benefícios de funcionários ou links para documentos de RH falsificados que exigem as credenciais do usuário para acesso. O método técnico para o comprometimento inicial envolve o uso de links adversários no meio (AITM) incorporados nos e-mails de phishing. Quando uma vítima clica nesses links, ela é direcionada para uma página de login falsa que intercepta suas credenciais, incluindo qualquer códigos de autenticação multifator que eles inserem. Este roubo de códigos MFA é o que permite aos agentes da ameaça obter acesso não autorizado à conta Exchange Online da vítima, estabelecendo a posição inicial na rede da universidade. Uma vez dentro de uma conta de e-mail violada, os invasores tomam medidas imediatas para encobrir seus rastros e facilitar o roubo financeiro. Eles configuram novas regras de caixa de entrada projetadas para localizar e excluir automaticamente qualquer e-mail de notificação de aviso enviado pelo Workday. Esta ação evita que o usuário legítimo seja alertado sobre alterações não autorizadas subsequentes feitas em seu perfil. Com essa ocultação implementada, os invasores usam o logon único (SSO) para passar da conta de e-mail comprometida diretamente para o perfil do Workday da vítima. A partir daí, alteram as configurações de pagamento de salários, redirecionando os futuros depósitos em folha de pagamento para contas financeiras sob seu controle. As contas comprometidas também servem como plataforma de lançamento para expandir o ataque. “Após o comprometimento das contas de e-mail e as modificações na folha de pagamento no Workday, o agente da ameaça aproveitou as contas recém-acessadas para distribuir mais e-mails de phishing, tanto dentro da organização quanto externamente para outras universidades”, acrescentou a Microsoft. Para manter o acesso a longo prazo, os atacantes estabeleceram persistência registando os seus próprios números de telefone como dispositivos MFA para as contas comprometidas. Isso foi feito por meio dos perfis do Workday ou das configurações associadas do Duo MFA, permitindo-lhes aprovar futuras ações maliciosas e evitar a detecção, mesmo que as senhas sejam alteradas. Em resposta à campanha, a Microsoft identificou os clientes afetados e contactou alguns para fornecer assistência na mitigação. A empresa também divulgou orientações detalhadas para ajudar as organizações a investigar esses ataques e implementar MFA resistente a phishing, uma defesa fundamental para proteger as contas dos usuários contra esse tipo de comprometimento. Esses ataques de “pirata de folha de pagamento” são classificados como uma variante do e-mail comercial golpes de compromisso (BEC), que visam amplamente empresas e indivíduos que processam regularmente pagamentos por transferência eletrônica.
