Aumento de Ataques Cibernéticos Utilizando Clientes HTTP: Alerta para Empresas Brasileñas
Os clientes HTTP, amplamente utilizados por desenvolvedores para enviar e receber solicitações na web, tornaram-se uma das principais armas nas mãos dos cibercriminosos para a apropriação de contas. Um recente relatório da Proofpoint revela que, na segunda metade de 2024, 78% dos usuários do Microsoft 365 no Brasil foram alvos de pelo menos uma tentativa de controle de conta através dessas aplicações.
Ferramentas ao Alcance dos Atacantes
Ferramentas como OkHttp, Axios e Node Fetch são frequentemente empregadas por desenvolvedores para realizar testes e gerenciar conexões com servidores. No entanto, cibercriminosos têm reutilizado esses recursos, retirando-os de repositórios públicos para executar ataques de força bruta e técnicas de adversário no meio (AiTM).
Desde 2018, esses métodos evoluíram, e neste ano observou-se um aumento na diversidade dos clientes HTTP utilizados. Enquanto no início de 2024 as variantes de OkHttp predominavam, em março começaram a ganhar espaço alternativas como Axios e Node Fetch, permitindo ataques de alta velocidade contra contas na nuvem.
Ataques Sofisticados com Alto Índice de Sucesso
Embora a maioria das tentativas de apropriação de contas baseadas em clientes HTTP seja caracterizada por ataques de força bruta com baixas taxas de sucesso, Proofpoint identificou campanhas notavelmente eficazes. Um exemplo importante é o cliente Axios, que em combinação com técnicas AiTM, conseguiu uma taxa de sucesso mensal de 38%. Esta ferramenta é capaz de interceptar, transformar e cancelar tráfego, facilitando o roubo de credenciais e tokens de acesso.
Executivos, responsáveis financeiros e equipes operacionais de setores estratégicos, como transporte, construção, finanças, tecnologia da informação e saúde, estão entre os principais alvos desses ataques. Segundo o relatório, entre junho e novembro de 2024, mais de 51% das organizações visadas foram atacadas, resultando em 43% de contas comprometidas.
Evolução e Tendências nos Ataques com Clientes HTTP
Nos últimos meses, os cibercriminosos aprimoraram suas táticas, incorporando infraestruturas distribuídas e redes de IP sequestradas para reduzir a exposição e evitar a detecção. Uma campanha massiva de força bruta utilizando Node Fetch foi identificada, caracterizada por sua alta velocidade e pela distribuição dos tentativas de acesso. Desde junho de 2024, mais de 13 milhões de tentativas de login fraudulentas foram registradas, com uma média de 66.000 tentativas diárias.
Ademais, em agosto de 2024, surgiu uma variante baseada no Go Resty, um cliente HTTP para Go, que permitiu ataques ainda mais diversificados. Contudo, esta tática diminuiu em outubro, enquanto os ataques com Node Fetch permanecem ativos.
Desafios e Medidas de Mitigação
Diante desse cenário, especialistas em cibersegurança alertam que os atacantes continuarão a adaptar suas estratégias e ferramentas para aumentar a eficácia de seus ataques e evitar os mecanismos de defesa. Os pesquisadores da Proofpoint recomendam o fortalecimento das medidas de autenticação multifator, a supervisão de padrões de acesso suspeitos e o bloqueio do uso de clientes HTTP em ambientes sensíveis.
A evolução dos ataques utilizando clientes HTTP mostra que os cibercriminosos continuam a inovar em seus métodos. Com uma combinação de ferramentas legítimas e estratégias avançadas, as organizações devem manter-se vigilantes para proteger seus sistemas e dados contra esse tipo de ameaça em constante evolução.
