Embora os ataques XSS representem uma ameaça constante, é possível mitigá-los em diferentes etapas — basta que as organizações adotem as ferramentas certas de forma simples e eficaz.
Devido à sua flexibilidade e acessibilidade, os serviços de webmail são uma alternativa popular aos aplicativos de e-mail tradicionais no local. No entanto, a forma como eles operam cria oportunidades para que os criminosos cibernéticos injetem códigos maliciosos nos sites visitados para roubar dados comerciais valiosos.
Esse é um fato bem conhecido, e o recente blog de pesquisa da ESET sobre a campanha do grupo cibercriminoso Sednit para atingir vários serviços de webmail confirma que essa continua sendo uma maneira popular de comprometer as empresas.
Enfrentar grupos bem organizados que abusam de vulnerabilidades conhecidas ou que estão dispostos a fazer um esforço extra para encontrar novas vulnerabilidades significa que as empresas precisam perceber que os serviços de webmail não são soluções simples de configurar e esquecer, mas um software que requer manutenção crítica e proteção avançada de segurança cibernética.
Popularidade dos aplicativos de webmail
Apesar de as empresas de software investirem maciçamente no desenvolvimento de várias plataformas de colaboração, o e-mail continua sendo uma forma extremamente popular de as empresas se comunicarem no dia a dia. Em 2023, o número de usuários globais de e-mail era de 4,37 bilhões, com aproximadamente 347 bilhões de e-mails enviados e recebidos todos os dias em todo o mundo. Esse número deve crescer para 4,89 bilhões de usuários e 408 bilhões de e-mails diários até 2027.
Entre a diversidade de plataformas de e-mail, os usuários geralmente preferem serviços de webmail em vez de clientes de e-mail de desktop. A telemetria da Litmus de 2022 mostra que, depois do Apple Mail Privacy Protection (52,2%), o webmail foi o ambiente de leitura mais popular, com 36%.
As pequenas e médias empresas (SMBs) geralmente optam pelo webmail devido a despesas menores, fácil integração e alta flexibilidade, pois os serviços de webmail podem ser acessados de qualquer dispositivo com conexão à Internet sem a necessidade de instalar nenhum software. Além disso, os líderes de mercado mantêm seus serviços de e-mail protegidos com vários recursos de segurança cibernética.
Todos esses benefícios podem criar uma falsa sensação de um serviço barato, fácil de manter e bem protegido, que não exige muita administração. Quem não gostaria de ter um software confiável, fácil de usar e bem protegido que custasse quase nada? Mas essa não é a história completa.
Ataques XSS
O Sednit é um grupo alinhado à Rússia que realizou uma operação de espionagem direcionada a servidores de webmail de alto valor usando ataques de XSS (cross-site scripting).
Esses ataques exploram vulnerabilidades no código dos serviços de webmail, permitindo que os criminosos cibernéticos injetem seu próprio script malicioso em um site de webmail comprometido.
Esse comprometimento geralmente permite que os invasores roubem as mensagens de e-mail das vítimas e outras informações confidenciais. Esse acesso também pode ser abusado para desenvolver ataques cibernéticos em várias etapas, como comprometimento de e-mail comercial (BEC) ou spearphishing.
Os ataques XSS são bastante populares entre os criminosos cibernéticos, que constantemente conseguem encontrar vulnerabilidades novas e mais recentes, enquanto as empresas que usam servidores de webmail geralmente não corrigem nem mesmo aquelas que já são conhecidas.
De acordo com um relatório da Forrester de 2024, 22% dos tomadores de decisões de segurança que relataram violações por meio de ataques externos identificaram as explorações de aplicativos da Web como o ponto de entrada. Isso inclui falhas de segurança comuns, como XSS (cross-site scripting) e SQL Injection (SQLi).
Operação RoundPress
Em 2023, antes do início da atual operação RoundPress da Sednit, ela iniciou a operação Roundcube. No decorrer do ano seguinte, a campanha se expandiu para outros softwares populares de webmail, incluindo Horde, MDaemon e Zimbra.
A maioria das vítimas foram entidades governamentais e empresas de defesa na Europa Oriental, mas governos na África, Europa e América do Sul também foram alvos.
Em geral, os ataques observados começaram com e-mails de spearphishing compartilhando notícias sobre eventos notáveis, geralmente relacionados à Ucrânia.
O código malicioso que acionava as vulnerabilidades XSS estava dentro do código HTML do corpo da mensagem de e-mail e não era diretamente visível para o usuário. Para injetar códigos JavaScript maliciosos nas páginas de webmail das vítimas, os usuários só precisavam abrir os e-mails. Nada mais.
Os atacantes exploraram principalmente vulnerabilidades conhecidas descobertas em 2023 e 2024. No caso do MDaemon, o Sednit utilizou uma vulnerabilidade de dia zero desconhecida anteriormente.
Dependendo do serviço de webmail e da vulnerabilidade explorada, a Operação RoundPress é capaz de realizar algumas das seguintes ações maliciosas:
- Roubo de credenciais
- Exfiltração de contatos, configurações e histórico de login
- Exfiltração de mensagens de e-mail
- Exfiltração do segredo da autenticação de dois fatores (2FA)
- Criação de uma senha de aplicativo, que permite que os invasores acessem a caixa de correio de um aplicativo de e-mail e enviem e recebam mensagens, sem precisar inserir o código 2FA, mesmo que a 2FA esteja ativada
Tudo começa com um e-mail
Depois de ler sobre a capacidade dos invasores de acessar e-mails comerciais confidenciais, a próxima proclamação pode parecer surpreendente, mas há várias boas notícias decorrentes dessa campanha:
Primeiro, embora as vulnerabilidades nos serviços de webmail sejam um problema, quando são descobertas, os desenvolvedores geralmente conseguem corrigi-las rapidamente. Por exemplo, o patch para a vulnerabilidade de dia zero do MDaemon foi lançado em duas semanas, depois que a ESET notificou o MDaemon.
A segunda boa notícia é bastante óbvia: as empresas podem evitar muitos desses ataques apenas mantendo seus servidores de webmail atualizados. Quando seu serviço de webmail liberar uma correção, aplique-a o mais rápido possível.
Em terceiro lugar, para lançar um ataque, os usuários-alvo tinham que ser convencidos a abrir e-mails específicos no portal de webmail vulnerável. Com o RoundPress, os e-mails usavam manchetes convincentes relacionadas a notícias. Um treinamento completo em segurança cibernética deve instruir os funcionários sobre como reconhecer e evitar e-mails de phishing. Afinal de contas, por que os funcionários deveriam ler notícias que aparecem aleatoriamente em seus e-mails de trabalho?
Em quarto lugar, quando as empresas não conseguem adotar todas essas medidas de prevenção, elas ainda podem encontrar proteção por meio de uma solução de segurança cibernética confiável. De fato, a ESET protegeu seus clientes contra a operação RoundPress em vários estágios. Por exemplo, o firewall da ESET bloqueia a exfiltração e a proteção de endpoint da ESET bloqueia os scripts JavaScript maliciosos.
Prevenção com a ESET
Ao entender como esses ataques de webmail funcionam, fica claro que a prevenção é a melhor opção para as empresas evitarem violações e quaisquer interrupções relacionadas. Isso nem sempre é fácil, especialmente para as pequenas e médias empresas que não dispõem de recursos financeiros e profissionais para manter todas as medidas de segurança rígidas.
É por isso que a ESET preparou uma solução abrangente, o ESET PROTECT, com base em suas proteções em várias camadas e abordagem de prevenção em primeiro lugar. Ele fornece uma proteção formidável contra malware e diferentes tipos de ameaças cibernéticas , incluindo aquelas vistas em ataques XSS - e-mails de phishing, zero-days e scripts maliciosos.
Além disso, o ESET PROTECT é facilmente escalável e operável a partir de nossa plataforma unificada de segurança cibernética, a ESET PROTECT Platform. Isso ajuda as empresas a ajustar e gerenciar os recursos de segurança cibernética da ESET de acordo com seu tamanho e necessidades, sem sobrecarregar os administradores de TI.
Focando ainda mais na prevenção, a ESET também desenvolveu o Treinamento de Conscientização em Segurança Cibernética para os funcionários , a fim de aumentar sua conscientização contra ameaças cibernéticas comuns relacionadas ao ser humano, incluindo spearphishing.
Abra seu e-mail sem preocupações
A dura realidade é que, mais cedo ou mais tarde, todos se deparam com spam ou e-mails maliciosos. Apesar de a proteção nativa do webmail oferecer algum grau de segurança, os criminosos cibernéticos sempre tentarão encontrar brechas em sua programação para roubar dados ou distribuir malware. Às vezes, essas ameaças são simples; às vezes, são cuidadosamente elaboradas por grupos notórios de criminosos cibernéticos com um histórico infame de violações notáveis.
Entretanto, não há necessidade de se preocupar com cada notificação de e-mail que um funcionário recebe. Com o treinamento de conscientização correto, o software atualizado e as soluções de segurança cibernética que favorecem a prevenção antes da intervenção, as empresas podem lidar com suas tarefas diárias e com a comunicação com tranquilidade.