Los actores de amenazas que llevan a cabo ataques de phishing aprovechan escenarios de enrutamiento y protecciones falsas mal configuradas para hacerse pasar por dominios de la organización y distribuir correos electrónicos que parecen haber sido enviados internamente.
“Los actores de amenazas han explotado este vector para enviar una variedad de mensajes de phishing relacionados con varias plataformas de phishing como servicio (PhaaS), como Tycoon 2FA”, dijo el equipo de Microsoft Threat Intelligence en un informe el martes. “Estos incluyen mensajes atractivos en torno a correos de voz, documentos compartidos, comunicaciones de recursos humanos, restablecimientos o vencimientos de contraseñas y otros que conducen al phishing de credenciales”.
Si bien el vector de ataque no es necesariamente nuevo, el gigante tecnológico dijo que ha visto un aumento en el uso de esta táctica desde mayo de 2025 como parte de campañas oportunistas dirigidas a una variedad de organizaciones en diferentes verticales y verticales. Esto incluye una campaña que utilizó correos electrónicos falsos para perpetrar fraude financiero contra organizaciones.
Un ataque exitoso podría permitir a los actores de amenazas capturar credenciales y usarlas para actividades posteriores que van desde el robo de datos hasta el compromiso del correo electrónico corporativo (BEC).
El problema ocurre principalmente en escenarios donde un inquilino ha configurado un escenario de enrutamiento complejo y las medidas de protección contra falsificación no se aplican estrictamente. Un ejemplo de enrutamiento complejo implica señalar el registro de Mail Exchanger (MX) a un entorno de Exchange local o a un servicio de terceros antes de que llegue a Microsoft 365.
Esto crea una vulnerabilidad de seguridad que los atacantes pueden aprovechar para enviar mensajes de phishing falsos que parecen originarse en el propio dominio del inquilino. Se ha descubierto que la gran mayoría de las campañas de phishing que utilizan este enfoque aprovechan el kit Tycoon 2FA PhaaS. Microsoft dijo que bloqueó más de 13 millones de correos electrónicos maliciosos vinculados al kit hasta octubre de 2025.
Los kits de herramientas PhaaS son plataformas plug-and-play que permiten a los estafadores crear y gestionar fácilmente campañas de phishing, haciéndolas accesibles incluso para aquellos con conocimientos técnicos limitados. Ofrecen funciones como plantillas de phishing personalizables, infraestructura y otras herramientas para facilitar el robo de credenciales y evitar la autenticación multifactor mediante Adversary-in-the-Middle Phishing (AiTM).
El fabricante de Windows dijo que también descubrió correos electrónicos destinados a engañar a las empresas para que pagaran facturas falsas, lo que podría provocar pérdidas financieras. Los mensajes falsos también se hacen pasar por servicios legítimos como DocuSign o pretenden ser de Recursos Humanos cuando se trata de cambios salariales o de beneficios.
Los correos electrónicos de phishing que difunden fraude financiero a menudo se parecen a una conversación entre el director ejecutivo de la organización objetivo, un individuo que exige el pago por los servicios prestados o el departamento de contabilidad de la empresa. También contienen tres archivos adjuntos para darle al sistema una falsa sensación de confianza:
- Una factura falsa por miles de dólares para transferir a una cuenta bancaria
- Un formulario W-9 del IRS con el nombre y número de Seguro Social de la persona utilizada para configurar la cuenta bancaria.
- Supuestamente un empleado del banco en línea a través del cual se creó la cuenta fraudulenta proporcionó una carta bancaria falsa.
“Puede utilizar enlaces en los que se puede hacer clic en el cuerpo del correo electrónico o códigos QR en archivos adjuntos u otros medios para engañar al destinatario para que navegue a una página de inicio de phishing”, continúa. “La apariencia de ser enviado desde una dirección de correo electrónico interna es la diferencia más visible para un usuario final, ya que a menudo se usa la misma dirección de correo electrónico en los campos Para y De”.
Para abordar este riesgo, se recomienda a las organizaciones establecer políticas estrictas de denegación de conformidad, informes y autenticación de mensajes basados en dominio (DMARC) y políticas de falla grave del Marco de políticas del remitente (SPF), y configurar correctamente conectores de terceros, como servicios de filtrado de spam o herramientas de archivo.
Vale la pena señalar que los inquilinos con registros MX que apuntan directamente a Office 365 no son vulnerables al vector de ataque. Además, se recomienda desactivar el envío directo cuando no sea necesario para rechazar correos electrónicos que falsifiquen los dominios de la organización.
About The Author
