# T1111 - Multi-Factor Authentication Interception ## Descrição A interceptação de autenticação multifator (MFA) é uma técnica utilizada por adversários para contornar mecanismos de segurança de segundo fator, capturando credenciais ou tokens de autenticação em tempo real. Embora o MFA represente uma camada de segurança significativamente superior ao uso isolado de senhas, grupos de ameaça sofisticados desenvolveram métodos eficazes para subvertê-lo. O MFA é amplamente recomendado pelo [[m1032-multi-factor-authentication|NIST]], [[sources|CISA]] e pela [[m1017-user-training|indústria de segurança]] como controle essencial contra [[t1078-valid-accounts|acesso com credenciais válidas]] e ataques de [[t1110-brute-force|força bruta]]. No entanto, adversários adaptaram seus TTPs para interceptar tokens antes que sejam consumidos pelo sistema alvo, neutralizando a proteção. Esta técnica cobre múltiplos vetores: captura de tokens por meio de keyloggers em smartcards e tokens físicos (como RSA SecurID), interceptação de códigos OTP enviados por SMS ou e-mail, comprometimento de provedores de serviços de SMS, e uso de proxies de autenticação que retransmitem sessões autenticadas em tempo real. Grupos como [[g1004-lapsus|LAPSUS$]], [[g1044-apt42|APT42]] e [[g0094-kimsuky|Kimsuky]] documentam uso ativo desta técnica em campanhas de alto impacto contra setores corporativos e governamentais. No contexto de Brasil e América Latina, a técnica é particularmente relevante em ataques a sistemas bancários, portais governamentais e plataformas de e-commerce, onde o MFA por SMS é amplamente adotado, criando uma superfície de ataque expressiva para interceptação via SIM swapping e SS7 exploitation. ## Como Funciona A interceptação de MFA ocorre em diferentes pontos do fluxo de autenticação, dependendo do tipo de segundo fator utilizado: ### 1. Smartcards e Tokens Físicos (Proxy de Autenticação) Quando um smartcard é inserido, o adversário - já com acesso ao sistema comprometido - instala um keylogger para capturar o PIN associado ao cartão. Com o PIN e acesso físico ao sistema infectado onde o cartão está inserido, o adversário pode criar um proxy que retransmite a autenticação para recursos de rede como se fosse o usuário legítimo. Ferramentas como [[s1104-slowpulse|SLOWPULSE]] e [[s0018-sykipot|Sykipot]] foram documentadas executando esse padrão em operações de espionagem. ### 2. Tokens RSA SecurID e Aplicativos TOTP Tokens OTP (One-Time Password) baseados em tempo (TOTP) geram códigos válidos por 30 a 60 segundos. Um keylogger pode capturar o código digitado pelo usuário. Em alguns casos, o adversário também obtém o seed do token (valor base usado para gerar os códigos), permitindo a geração autônoma de valores futuros sem precisar interceptar cada código individualmente. ### 3. OTP por SMS (Ataque de SIM Swapping e SS7) O canal de entrega de códigos por SMS é vulnerável a: - **SIM Swapping**: o adversário convence a operadora a transferir o número de telefone da vítima para um SIM controlado por ele, redirecionando todos os SMS. - **SS7 Exploitation**: vulnerabilidades no protocolo SS7 (Signaling System 7), que roteiam chamadas e mensagens entre operadoras globalmente, permitem que atacantes com acesso à rede SS7 interceptem SMS antes de chegarem ao dispositivo legítimo. - **Comprometimento do provedor de SMS**: o adversário compromete diretamente a plataforma que envia os códigos OTP, ganhando acesso a todos os tokens em trânsito. ### 4. Push Notification Fatigue (MFA Bombing) Uma variante comportamental - amplamente utilizada pelo [[g1004-lapsus|LAPSUS$]] - consiste em enviar repetidas solicitações de autenticação push (via aplicativos como Microsoft Authenticator ou Duo) até que o usuário, por fadiga ou confusão, aprove uma solicitação maliciosa. Esse método dispensa qualquer captura técnica de tokens. ### 5. AiTM (Adversary-in-the-Middle) com Frameworks de Phishing Ferramentas como Evilginx2 e Modlishka atuam como proxies reversos entre o usuário e o serviço legítimo. O usuário autentica normalmente, incluindo o segundo fator, mas o adversário captura os cookies de sessão autenticados em tempo real, podendo reutilizá-los sem necessidade do segundo fator. Técnica relacionada: [[t1557-adversary-in-the-middle|Adversary-in-the-Middle]]. ## Attack Flow ```mermaid graph TB A["Acesso Inicial<br/>Phishing / Comprometimento<br/>de Endpoint"] --> B["Reconhecimento de MFA<br/>Identifica tipo de 2FA<br/>SMS, TOTP, Smartcard, Push"] B --> C1["Vetor: Keylogger<br/>Captura PIN + token físico<br/>Sykipot / SLOWPULSE"] B --> C2["Vetor: SIM Swapping<br/>Engenharia social na operadora<br/>Transfere número da vítima"] B --> C3["Vetor: AiTM Proxy<br/>Evilginx2 / Modlishka<br/>Captura cookie de sessão"] B --> C4["Vetor: MFA Bombing<br/>Push notification fatigue<br/>Aprovação por fadiga"] C1 --> D["Credenciais + Token Capturados"] C2 --> D C3 --> D C4 --> D D --> E["Autenticação no Sistema Alvo<br/>Uso de credenciais + 2FA interceptado"] E --> F1["Acesso a E-mail Corporativo<br/>M365 / Google Workspace"] E --> F2["Acesso a VPN / Sistemas Internos"] E --> F3["Acesso a Plataformas Cloud<br/>AWS / Azure / GCP"] F1 --> G["Movimentação Lateral<br/>Ta0008 Lateral Movement"] F2 --> G F3 --> G G --> H["Objetivos do Adversário<br/>Espionagem / Ransomware / Fraude"] ``` ## Exemplos de Uso ### Kimsuky - Espionagem Governamental Sul-Coreana O grupo norte-coreano [[g0094-kimsuky|Kimsuky]] documentou o uso de interceptação de MFA em campanhas contra pesquisadores, think tanks e funcionários governamentais da Coreia do Sul, Jápão e EUA. A abordagem típica envolve phishing direcionado que entrega keyloggers e ferramentas de acesso remoto capazes de capturar credenciais e tokens de smartcards utilizados em sistemas governamentais classificados. ### LAPSUS$ - MFA Bombing em Grande Escala O grupo [[g1004-lapsus|LAPSUS$]] tornou-se notório em 2022 por campanhas que combinavam engenharia social com MFA bombing. Em incidentes documentados envolvendo Okta, NVIDIA e Microsoft, o grupo registrou funcionários com acesso privilegiado e bombardeou seus aplicativos de autenticação push até obter aprovação. Em alguns casos, ligações de voz se fazendo passar por equipes de TI foram usadas para pressionar vítimas a aprovarem as solicitações. ### APT42 - Coleta de Credenciais MFA em Campanhas Iranianas O grupo iraniano [[g1044-apt42|APT42]], vinculado ao IRGC-IO, utilizou páginas de phishing sofisticadas emulando portais legítimos (Google, Microsoft) para capturar tanto senhas quanto tokens TOTP em tempo real. A captura acontecia via proxy AiTM que retransmitia imediatamente as credenciais para o sistema alvo antes da expiração do token de 30 segundos. ### Chimera - Comprometimento de Telecomúnicações O grupo [[g0114-chimera|Chimera]], focado em espionagem industrial no setor de semicondutores e aviação, utilizou técnicas de interceptação de SMS ao comprometer operadoras de telecomúnicações, obtendo acesso a sistemas protegidos por MFA via SMS de executivos e pesquisadores de empresas-alvo. ## Detecção ### Regra Sigma - Múltiplas Tentativas de Autenticação MFA ```yaml title: Múltiplas Tentativas Push MFA em Curto Intervalo (MFA Bombing) status: experimental description: > Detecta padrão de MFA bombing onde múltiplas solicitações de autenticação push são enviadas em curto espaço de tempo para o mesmo usuário, indicando possível fadiga de notificação como vetor de ataque. logsource: product: azure service: auditlogs detection: selection: ActivityDisplayName: "Sign-in activity" ResultType: "50074" filter_time: TimeGenerated|gt: now-5m condition: selection | count() by UserPrincipalName > 5 fields: - UserPrincipalName - IPAddress - DeviceDetail - Location falsepositives: - Usuário com falhas de sincronização de token legítimas - Testes de autenticação por equipe de TI level: high tags: - attack.credential_access - attack.t1111 ``` ### Regra Sigma - Acesso a Recursos após Autenticação em Localização Incomum ```yaml title: Autenticação MFA Bem-Sucedida de País Não Usual status: experimental description: > Detecta autenticação MFA bem-sucedida originada de país diferente do padrão histórico do usuário, possível indicativo de SIM swap ou AiTM. logsource: product: azure service: signinlogs detection: selection: ResultType: "0" AuthenticationDetails|contains: "MFA" filter_anomalous: Location|not: - "Brazil" - "United States" condition: selection and filter_anomalous level: high tags: - attack.credential_access - attack.t1111 - attack.t1557 ``` ### Indicadores de Comprometimento | Indicador | Tipo | Descrição | |-----------|------|-----------| | Login bem-sucedido após N tentativas MFA falhas | Comportamental | Indica MFA bombing bem-sucedido | | IP de login diferente do IP do token OTP | Rede | Possível AiTM proxy ativo | | Login de país novo + 2FA aprovado | Geolocalização | Possível SIM swap ou sessão roubada | | Solicitações AS-REQ sem pré-autenticação | Kerberos | Conta vulnerável, alvo de ataques relacionados | ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1017 | [[m1017-user-training\|M1017 - User Training]] | Treinar usuários para não aprovar solicitações MFA push não solicitadas; conscientizar sobre SIM swapping e engenharia social | | M1032 | [[m1032-multi-factor-authentication\|M1032 - Multi-factor Authentication]] | Migrar de MFA por SMS para métodos resistentes a phishing: FIDO2/WebAuthn, chaves de segurança físicas (YubiKey) - imune a AiTM e SIM swap | | M1054 | Software Configuration | Habilitar "number matching" e contexto adicional (localização, aplicativo) nas solicitações push para dificultar aprovações acidentais | | M1026 | Privileged Account Management | Aplicar MFA resistente a phishing obrigatoriamente em todas as contas privilegiadas e de acesso a sistemas críticos | ### Controles Adicionais Recomendados - **Adotar FIDO2/Passkeys**: Chaves de segurança físicas (YubiKey, Titan Key) ou passkeys vinculadas ao dispositivo são imunes a ataques AiTM e SIM swapping por design criptográfico. - **Desativar SMS como fator MFA**: SMS é o método mais vulnerável; onde possível, migrar para aplicativos TOTP ou FIDO2. - **Monitorar solicitações push em massa**: Implementar limites de taxa e alertas para múltiplas solicitações push em jánelas de tempo curtas. - **Conditional Access por risco**: Usar políticas de acesso condicional baseadas em risco (Azure AD Identity Protection, Okta ThreatInsight) para bloquear logins anômalos mesmo com MFA bem-sucedido. ## Contexto Brasil/LATAM ### Panorama de Ameaças Regional O Brasil apresenta um cenário particularmente favorável para ataques de interceptação de MFA por SMS devido à alta penetração de smartphones e à dependência histórica de autenticação por SMS em sistemas bancários, portais governamentais (Gov.br) e plataformas de e-commerce. **SIM Swapping no Brasil**: O Brasil figura entre os países com maior incidência de fraude de SIM swapping da América Latina. Operadoras de telefonia como Claro, TIM e Vivo têm sido alvo de engenharia social direcionada para transferência não autorizada de números. O [[cert-br|CERT.br]] registra alertas recorrentes sobre esse vetor, especialmente direcionado a clientes de bancos digitais (Nubank, Inter, C6 Bank). **Fraude Bancária via MFA SMS**: Grupos de cibercrime financeiro brasileiros - incluindo operadores de [[s0531-grandoreiro|Grandoreiro]] e [[s0528-javali|Javali]] - utilizam interceptação de SMS em cadeia com trojans bancários que aguardam a captura do token OTP para completar transações fraudulentas. O fluxo típico envolve: trojan no dispositivo da vítima → captura de credenciais bancárias → solicitação de transação → interceptação do SMS de confirmação. **Plataformas Gov.br**: A adoção do Gov.br como plataforma central de autenticação para serviços públicos federais brasileiros cria um alvo de alto valor. Casos documentados de phishing direcionado ao portal combinados com interceptação de segundo fator por SMS foram registrados pelo [[cert-br|CERT.br]] e pela [[policia-federal|Polícia Federal]] em operações contra grupos de fraude previdenciária. **Grupos de Ameaça com Foco em LATAM**: Além de atores locais, grupos como [[g1044-apt42|APT42]] (Irã) demonstraram interesse em alvos governamentais e de pesquisa em países latino-americanos, incluindo organizações brasileiras ligadas à energia nuclear e defesa. ### Recomendações Específicas para o Contexto Brasileiro 1. Organizações do setor financeiro devem priorizar a migração de MFA SMS para FIDO2, em alinhamento com as diretrizes da [[2018]]. 2. Órgãos governamentais devem implementar políticas de Conditional Access no Gov.br e sistemas legados. 3. Monitorar tentativas de portabilidade suspeitas junto às operadoras parceiras. 4. Adotar políticas zero-trust que não confiem implicitamente em sessões autenticadas por MFA. ## Referências - [MITRE ATT&CK - T1111: Multi-Factor Authentication Interception](https://attack.mitre.org/techniques/T1111) - [CISA Advisory - MFA Bypass Techniques (AA22-074A)](https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-074a) - [Microsoft - MFA Fatigue Attack Defense](https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-methods) - [Mandiant - APT42 Report - Domestic and International Cyber Espionage](https://www.mandiant.com/resources/blog/apt42-charms-cons-compromises) - [LAPSUS$ TTPs Analysis - Microsoft DART](https://www.microsoft.com/en-us/security/blog/2022/03/22/dev-0537-criminal-actor-targeting-organizations-for-data-exfiltration-and-destruction/) - [CERT.br - Fraudes Bancárias e SIM Swapping](https://www.cert.br/) - [[t1557-adversary-in-the-middle|T1557 - Adversary-in-the-Middle]] - [[t1556-modify-authentication-process|T1556 - Modify Authentication Process]] - [[t1110-brute-force|T1110 - Brute Force]] --- *Fonte: [MITRE ATT&CK - T1111](https://attack.mitre.org/techniques/T1111)*