Microsoft ha advertido sobre una campaña de phishing y compromiso de correo electrónico empresarial (BEC) de Adversario en el medio (AitM) de varias etapas dirigida a varias organizaciones del sector energético.
“La campaña abusó de los servicios de intercambio de archivos de SharePoint para entregar cargas útiles de phishing y se basó en la creación de reglas de la bandeja de entrada para mantener la persistencia y evadir la atención del usuario”, dijo el equipo de investigación de seguridad de Microsoft Defender. “El ataque dio paso a una serie de ataques AitM y posteriores actividades de BEC que abarcaron múltiples organizaciones”.
Como parte de las actividades posteriores a la explotación que siguieron al compromiso inicial, se descubrió que los atacantes desconocidos utilizaban identidades internas confiables de la víctima para realizar phishing externo e intraorganizacional a gran escala para lanzar una amplia red y ampliar el alcance de la campaña.
El punto de partida del ataque es un correo electrónico de phishing, probablemente enviado desde una dirección de correo electrónico de una organización confiable que previamente ha sido comprometida. Al abusar de este canal legítimo, los actores de amenazas enviaron mensajes disfrazados de flujos de trabajo de intercambio de documentos de SharePoint para darles una apariencia de credibilidad y engañar a los destinatarios para que hicieran clic en URL de phishing.
Debido a que servicios como SharePoint y OneDrive se utilizan ampliamente en entornos corporativos y los correos electrónicos provienen de una dirección legítima, es poco probable que generen sospechas y permitan a los atacantes entregar enlaces de phishing o entregar cargas útiles maliciosas. Este enfoque también se denomina “sitios de confianza para vivir de” (LOTS) porque aprovecha la familiaridad y ubicuidad de dichas plataformas para socavar los mecanismos de detección centrados en el correo electrónico.
La URL, a su vez, redirige a los usuarios a una solicitud de credencial falsa para ver el supuesto documento. Dado que los atacantes pueden acceder a la cuenta utilizando las credenciales robadas y la cookie de sesión, crean reglas de bandeja de entrada para eliminar todos los correos electrónicos entrantes y marcar todos los correos electrónicos como leídos. Una vez establecida esta base, la bandeja de entrada comprometida se utiliza para enviar mensajes de phishing con una URL falsificada que tiene como objetivo robar las credenciales de inicio de sesión mediante un ataque AitM.
En un caso, el atacante lanzó una campaña de phishing a gran escala con más de 600 correos electrónicos enviados a los contactos del usuario vulnerable dentro y fuera de la empresa, según Microsoft. También se ha observado que los actores de amenazas toman medidas para eliminar correos electrónicos no entregados y correos electrónicos fuera de la oficina y tranquilizar a los destinatarios de los mensajes sobre la autenticidad de los correos electrónicos si han expresado inquietudes. A continuación, la correspondencia se eliminará del buzón.
“Estas técnicas son comunes en todos los ataques BEC y tienen como objetivo mantener a la víctima inconsciente de las operaciones del atacante y así contribuir a la persistencia”, señaló el fabricante de Windows.
Microsoft dijo que el ataque subrayó la “complejidad operativa” de AitM y explicó que restablecer las contraseñas por sí solo no podía eliminar la amenaza porque las organizaciones afectadas necesitarían asegurarse de haber revocado las cookies de sesión activas y eliminado las reglas de la bandeja de entrada creadas por el atacante y utilizadas para evadir la detección.
Con este fin, la compañía señaló que trabajó con los clientes para revocar los cambios de autenticación multifactor (MFA) realizados por el atacante en las cuentas de los usuarios comprometidos y eliminar las reglas sospechosas creadas para estas cuentas. Actualmente se desconoce cuántas organizaciones se vieron comprometidas y si fue obra de un conocido grupo de ciberdelincuencia.
Se recomienda a las organizaciones que trabajen con su proveedor de identidad para garantizar que existan controles de seguridad, como MFA resistente al phishing, habilitar políticas de acceso condicional, implementar una evaluación de acceso continua y utilizar soluciones anti-phishing que monitoreen y escaneen los correos electrónicos entrantes y los sitios web visitados.
El ataque descrito por Microsoft subraya la tendencia actual entre los actores de amenazas a abusar de servicios confiables como Google Drive, Amazon Web Services (AWS) y el wiki Confluence de Atlassian para redirigir a sitios web de recolección de credenciales y generar malware. Esto elimina la necesidad de que los atacantes construyan su propia infraestructura y hace que la actividad maliciosa parezca legítima.
La divulgación se produjo después de que el proveedor de servicios de identidad Okta dijera que descubrió kits de phishing personalizados diseñados específicamente para su uso en campañas de phishing de voz (también conocidas como vishing) dirigidas a Google, Microsoft, Okta y una variedad de plataformas de criptomonedas. En estas campañas, el atacante se hace pasar por un representante de soporte técnico y llama a objetivos potenciales utilizando una línea directa de soporte falso o un número de teléfono de la empresa.
Los ataques tienen como objetivo engañar a los usuarios para que visiten una URL maliciosa y compartan sus credenciales, que luego se reenvían a los actores de la amenaza en tiempo real a través de un canal de Telegram, otorgándoles así acceso no autorizado a sus cuentas. Los esfuerzos de ingeniería social están bien planificados: los atacantes exploran objetivos y crean páginas de phishing personalizadas.
Los kits, vendidos como servicio, están equipados con scripts del lado del cliente que permiten a los actores de amenazas controlar el flujo de autenticación en el navegador de un usuario objetivo en tiempo real proporcionando instrucciones verbales y engañándolos para que realicen acciones (por ejemplo, aprobar notificaciones automáticas o ingresar contraseñas de un solo uso) que darían como resultado una omisión de MFA.
“Al utilizar estos kits, un atacante que contacta a un usuario objetivo por teléfono puede controlar el flujo de autenticación a medida que ese usuario interactúa con páginas de phishing de credenciales”, dijo Moussa Diallo, investigador de amenazas de Okta Threat Intelligence. “Pueden controlar qué páginas ve el objetivo en su navegador, en perfecta sincronización con las instrucciones que proporcionan cuando llaman. El actor de amenazas puede utilizar esta sincronización para derrotar cualquier forma de MFA que no sea resistente al phishing”.
En las últimas semanas, las campañas de phishing han explotado las URL de autenticación básica (por ejemplo, “nombre de usuario:contraseña@dominio(.)com”) insertando un dominio confiable en el campo “nombre de usuario”, seguido de un símbolo @ y el dominio malicioso real para engañar visualmente a la víctima.
“Si un usuario ve una URL que comienza con un dominio familiar y confiable, puede asumir que el enlace es legítimo y seguro para hacer clic”, dijo Netcraft. “Sin embargo, el navegador interpreta cualquier cosa antes del símbolo @ como credenciales de autenticación en lugar de como parte del destino. El dominio real, o aquel al que se está conectando el navegador, se inserta después del símbolo @”.
Otras campañas utilizaron trucos simples de engaño visual, como el uso de “rn” en lugar de “m” para ocultar dominios maliciosos y engañar a las víctimas haciéndoles creer que estaban visitando un dominio legítimo asociado con empresas como Microsoft (“rnicrosoft(.)com”), Mastercard (“rnastercard(.)de”), Marriott (“rnarriotthotels(.)com”) y Mitsubishi (“rnitsubishielectric(.)com”). Esto se llama ataque de homoglifos.
“Si bien los atacantes suelen atacar marcas que comienzan con la letra M utilizando esta técnica, algunos de los dominios más atractivos surgen del intercambio de una 'm' interna por una 'rn' dentro de las palabras”, dijo Ivan Khamenka de Netcraft. “Esta técnica se vuelve aún más peligrosa cuando aparece en palabras que las empresas usan comúnmente como parte de su marca, subdominios o identificadores de servicios. Términos como correo electrónico, mensaje, miembro, confirmación y comunicación contienen formas M en medio de la palabra que los usuarios difícilmente procesan”.
About The Author
