CTI REPORT – Campanhas de Phishing que exploram Direct Send do M365

Sumário

1. Sumário Executivo
1.2. Risco Atual para Organizações
 1.3. Medidas Prioritárias de Mitigação
 1.4. Possíveis Impactos para Organizações
2. Entendendo a Funcionalidade Direct Send
3. Caso 1: Ataques de Phishing Interno Abusando do Direct Send do Microsoft 365
4. Caso 2: Campanha de Phishing Explorando o Direct Send do Microsoft 365
5. Recomendações
6. Conclusão
7. Indicadores de Comprometimento
8. Fontes

1. Sumário Executivo

Pesquisas recentes conduzidas por empresas de segurança cibernética, como Proofpoint e Varonis, identificaram campanhas sofisticadas de phishing que exploram a funcionalidade Direct Send do Microsoft 365 para enviar e-mails maliciosos que parecem originar-se de dentro das organizações.

Essas ameaças representam um risco significativo, pois contornam controles de segurança de e-mail tradicionais e exploram a confiança dos usuários em comunicações internas.

1.2. Risco Atual para Organizações

Os ataques que exploram a funcionalidade Direct Send apresentam um risco elevado para organizações de todos os tamanhos e setores.

Ao permitir que atacantes enviem e-mails que parecem vir de fontes internas confiáveis, esses ataques podem facilmente enganar usuários desavisados, levando a violações de segurança, roubo de credenciais e acesso não autorizado a sistemas críticos.

A confiança inerente que os funcionários depositam em comunicações internas torna esses ataques particularmente perigosos, pois os usuários são mais propensos a clicar em links ou abrir anexos que acreditam ser de colegas ou sistemas legítimos.

Além disso, mesmo quando esses e-mails são sinalizados como suspeitos e enviados para a pasta de spam, eles ainda podem ser acessados e explorados, aumentando o potencial de dano.

1.3. Medidas Prioritárias de Mitigação

Para mitigar os riscos associados à exploração da funcionalidade Direct Send, as organizações devem adotar uma abordagem multifacetada que combine configurações técnicas, monitoramento contínuo e conscientização dos usuários. As medidas prioritárias incluem:

  • Desativar o Direct Send, se não necessário: Bloquear o uso não autorizado da funcionalidade.
  • Implementar autenticação de e-mail robusta: Configure protocolos como SPF, DKIM e DMARC com políticas rigorosas para verificar a autenticidade dos e-mails.
  • Monitorar e auditar o tráfego de e-mail: Estabeleça sistemas para detectar comportamentos anômalos, como falhas de autenticação ou e-mails enviados de IPs externos.
  • Educar e treinar os usuários: Realize treinamentos regulares para ajudar os funcionários a reconhecer e-mails suspeitos, mesmo aqueles que parecem internos, e a relatar atividades incomuns.

Essas ações, quando implementadas em conjunto, podem significativamente reduzir a vulnerabilidade das organizações a esses tipos de ataques e fortalecer a postura geral de segurança.

1.4. Possíveis Impactos para Organizações

Este tipo de ataque pode ter consequências graves para as organizações. Esses impactos podem ser diretos, afetando imediatamente a segurança e as operações da empresa, ou indiretos, com repercussões a longo prazo.

Abaixo estão os principais impactos que as organizações podem enfrentar:

Impactos Diretos

  • Perda Financeira: Ataques bem-sucedidos podem resultar em perdas financeiras significativas, especialmente se os atacantes conseguirem realizar transferências bancárias fraudulentas ou roubar informações financeiras confidenciais.

  • Comprometimento de Dados: Acesso não autorizado a sistemas internos pode levar ao roubo de dados sensíveis, como informações de clientes, propriedade intelectual ou dados financeiros, comprometendo a integridade e a confidencialidade das informações.

  • Interrupção de Operações: A exploração dessas vulnerabilidades pode causar a paralisação de sistemas críticos, afetando a produtividade e a capacidade da organização de operar normalmente, o que pode ter um impacto direto nos resultados financeiros e na continuidade dos negócios.

Impactos Indiretos

  • Danos à Reputação: A divulgação de um ataque bem-sucedido pode prejudicar a confiança dos clientes, parceiros e stakeholders na organização, afetando sua reputação e credibilidade no mercado. Isso pode levar a uma perda de negócios e dificuldade em atrair novos clientes ou parceiros.

  • Custos de Recuperação: Além das perdas diretas, a organização pode incorrer em custos significativos para investigar o ataque, restaurar sistemas comprometidos e implementar medidas de segurança adicionais para prevenir futuros incidentes.

  • Consequências Legais e Regulatórias: Dependendo do setor e da jurisdição, a organização pode enfrentar multas, sanções ou ações legais por não proteger adequadamente os dados dos clientes ou por não cumprir regulamentos de segurança, como a lei de proteção de dados.

Esses impactos destacam a importância crítica de implementar medidas robustas de segurança e conscientização para mitigar os riscos associados à exploração da funcionalidade Direct Send e proteger a organização contra ameaças cibernéticas sofisticadas.

2. Entendendo a Funcionalidade Direct Send

A funcionalidade Direct Send no Microsoft 365 permite que dispositivos e aplicativos dentro de uma organização, como impressoras e scanners, enviem e-mails para destinatários internos sem a necessidade de autenticação.

Essa funcionalidade utiliza um smart host para rotear mensagens e é projetada para facilitar comunicações internas, como notificações de dispositivos.

No entanto, a ausência de requisitos de autenticação torna o Direct Send vulnerável a abusos, permitindo que atacantes enviem e-mails falsificados que parecem vir de usuários ou sistemas internos, aumentando a credibilidade de ataques de phishing.

3. Caso 1: Ataques de Phishing Interno Abusando do Direct Send do Microsoft 365

Visão Geral

Os atacantes estão explorando a funcionalidade Direct Send para enviar e-mails de phishing que parecem originar-se de dentro da organização.

Esses e-mails frequentemente utilizam temas relacionados a negócios, como lembretes de tarefas ou autorizações de transferência bancária, para enganar os usuários.

Apesar de algumas vezes serem sinalizados como tentativas de falsificação pelos controles de autenticação do Microsoft 365, esses e-mails são entregues às caixas de spam dos usuários, onde ainda podem ser acessados e potencialmente explorados.

Como Funciona

O processo de ataque segue as seguintes etapas:

  1. Configuração: Os atacantes utilizam appliances de segurança de e-mail de terceiros não protegidos ou servidores próprios como relés SMTP.

  2. Reley: Eles se conectam a esses relays e usam a funcionalidade Direct Send para enviar e-mails ao tenant do Microsoft 365 da organização-alvo.

  3. Falsificação: Os e-mails são configurados com endereços “De” internos falsificados, fazendo com que pareçam vir de colegas ou sistemas internos.

  4. Entrega: Apesar das falhas de autenticação, os e-mails são entregues às caixas de spam dos usuários, aumentando o risco de interação.

4. Caso 2: Campanha de Phishing Explorando o Direct Send do Microsoft 365

Visão Geral

Uma campanha de phishing em larga escala, ativa desde maio de 2025, atingiu mais de 70 organizações, principalmente nos EUA.

Essa campanha explora o Direct Send para enviar e-mails falsificados que parecem vir de fontes internas, sem a necessidade de comprometer contas.

Os e-mails frequentemente contêm anexos em PDF com QR codes que direcionam os usuários para sites falsos de login, projetados para roubar credenciais.

Como Funciona

Semelhante ao primeiro caso, os atacantes utilizam o Direct Send para enviar e-mails que parecem internos, contornando controles de segurança tradicionais.

A campanha é notável por sua escala, afetando diversas indústrias, com foco em serviços financeiros, manufatura, construção, engenharia e saúde/seguros.

5. Recomendações

  • Desativar o Direct Send, se não necessário: Utilize o comando PowerShell Set-OrganizationConfig -RejectDirectSend $true para bloquear o uso da funcionalidade

  • Auditar Regras de Fluxo de E-mail: Verifique se apenas endereços IP autorizados podem atuar como relés.

  • Implementar Autenticação de E-mail: Configure SPF, DKIM e DMARC com políticas rigorosas (por exemplo, DMARC com p=reject).

  • Educação de Usuários: Treine os funcionários para reconhecer e-mails suspeitos, mesmo na pasta de spam, e relatar atividades incomuns.

  • Soluções Avançadas de Segurança: Considere ferramentas adicionais de segurança de e-mail para complementar as proteções nativas do Microsoft 365.

  • Monitorar Tráfego de E-mail: Configure sistemas para detectar os indicadores mencionados no relatório.

6. Conclusão

A exploração da funcionalidade Direct Send do Microsoft 365 representa um risco significativo para organizações, permitindo que atacantes enviem e-mails de phishing convincentes que parecem vir de fontes internas confiáveis.

Essas campanhas, ativas desde maio de 2025, destacam a tendência mais ampla de abuso de serviços legítimos em nuvem para contornar controles de segurança.

Para mitigar esses riscos, as organizações devem avaliar a necessidade do Direct Send e desativá-lo se não for essencial.

Para aquelas que dependem da funcionalidade, é crucial implementar configurações seguras e monitoramento contínuo. Além disso, a aplicação de protocolos robustos de autenticação de e-mail (SPF, DKIM, DMARC) e a educação contínua dos usuários são passos essenciais para manter um ambiente de e-mail seguro.

A conscientização dos usuários é igualmente importante. Os funcionários devem ser treinados para reconhecer tentativas de phishing, especialmente aquelas que parecem internas, e saber como relatar mensagens suspeitas à equipe de segurança de TI. As organizações também devem ter planos de resposta a incidentes para detectar e mitigar rapidamente qualquer comprometimento resultante desses ataques.

7. Indicadores de Comprometimento (IoCs)

Indicador
Detalhes
Endereço de IP
163.5.112[.]86
Endereço de IP
163.5.160[.]28
Endereço de IP
163.5.160[.]119
Endereço de IP
163.5.160[.]143
Endereço de IP
163.5.169[.]53
Domínio
hxxps://voice-e091b.firebaseapp[.]com
Domínio
hxxps://mv4lh.bsfff[.]es
Phishing
Your-to-do-List/MM/DD/YYYY
Phishing
Wire-eAuthorization approvalMM/DD/YYYY
Phishing
Payment ACH-Wire Authorization
Phishing
Daily Reminder: Today’s Tasks – MM/DD/YYYY
Phishing
WIRELESSCALLER(XXX)YYY-ZZZZ-MM/DD/YYYY
Phishing
You have received a new (2 pages) *Fax-Msg* to email@****
Comportamental
E-mails enviados de um usuário para si mesmo
Comportamental
Agentes de usuário PowerShell ou linha de comando

8. Fontes

Attackers Exploit M365 for Internal Phishing | Proofpoint US

Ongoing Campaign Abuses Microsoft 365’s Direct Send to Deliver Phishing Emails

Microsoft 365 ‘Direct Send’ abused to send phishing as internal users

Microsoft 365 Direct Send Abused for Phishing – SecurityWeek

What is Direct Send and how to secure it | Microsoft Community Hub

Introducing more control over Direct Send in Exchange Online | Microsoft Community Hub

mais conteúdo

CTI REPORT – Campanhas de Phishing que exploram Direct Send do M365
CTI REPORT – Campanhas de Phishing que exploram Direct Send do M365
Seguro cyber na prática: saiba quais são as coberturas essenciais
Seguro cyber na prática: saiba quais são as coberturas essenciais
CTI REPORT – Vulnerabilidade do SharePoint
CTI REPORT – Vulnerabilidade do SharePoint
Pentest: o que é, por que é fundamental e como fortalece a segurança
Pentest: o que é, por que é fundamental e como fortalece a segurança
SOC (Security Operations Center): o que é, importância estratégica e melhores práticas
SOC (Security Operations Center): o que é, importância estratégica e melhores práticas

Quer saber como o seu negócio pode se tornar nosso próximo case de sucesso?

Entre em contato agora mesmo!

Fale Conosco

Solo Iron: A vertical de cibersegurança da Solo Network projetada para proteger cada aspecto do seu negócio.

Solo Iron

Linkedin Instagram Facebook

Soluções

Parceiros

© Solo Iron - Todos os direitos reservados