Los investigadores de ciberseguridad detallan un grupo de nuevas actividades en la que los actores de amenaza están haciendo pasar por aplicaciones falsas de Microsoft Oauth como empresas para promover las cosechas de calificación como parte de un ataque de adquisición de cuentas.
«Las aplicaciones falsas de Microsoft 365 están falsificando una variedad de empresas, incluidas RingCentral, SharePoint, Adobe, Docusign y más», dijo Proofpoint en un informe el jueves.
La campaña en curso, detectada por primera vez a principios de 2025, está diseñada para usar aplicaciones OAuth como puertas de enlace y utiliza kits de phishing como magnate y ODX que pueden implementar phishing de autenticación multifactor (MFA) para obtener acceso no autorizado a las cuentas de Microsoft 365 de los usuarios.
La compañía de seguridad empresarial dijo que se ha observado el enfoque utilizado en las campañas de correo electrónico con más de 50 aplicaciones de falsificación.
El ataque comienza con un correo electrónico de phishing enviado desde una cuenta comprometida y tiene como objetivo engañar al destinatario para que haga clic en la URL bajo el pretexto de compartir una solicitud de cotización (RFQ) o Acuerdo de Contrato Comercial.
Cuando hace clic en estos enlaces, la víctima se dirige a la página de Microsoft Oauth de una aplicación llamada «Ilsmart» que le pide que vea el perfil básico y otorga permiso para mantener el acceso continuo a los datos que se otorgan.
Lo que es notable sobre este ataque es la compra y venta de Ilsmart, un mercado legítimo en línea para las industrias de aviación, marina y defensa.
«Los permisos de aplicación proporcionan un uso limitado para los atacantes, pero se utilizan para establecer la siguiente etapa de un ataque», dijo Proofpoint.
Ya sea que el objetivo acepte o rechaza los permisos solicitados, primero será redirigido a la página Captcha, y luego, una vez que se complete la verificación, será redirigido a la página de verificación de la cuenta de Microsoft.
Esta página falsa de Microsoft utiliza tecnología de phishing intermedia (AITM) impulsada por la última plataforma de phishing (PHAA) para cosechar calificaciones de víctimas y códigos MFA.
Al igual que el mes pasado, Proofpoint dijo que había detectado otra campaña en la que se enviaron correos electrónicos a través de la plataforma de marketing por correo electrónico Twilio Sendgrid, y suplantando a Adobe, diseñado con el mismo objetivo en mente.
La campaña representa una caída en los cubos en comparación con la actividad general de renombre, con múltiples clústeres que aprovechan los kits de herramientas para ejecutar ataques de adquisición de cuentas. Solo en 2025, se han observado intentos de comprometer cuentas que afectan a casi 3.000 cuentas de usuarios en más de 900 entornos de Microsoft 365.
«Los actores de amenazas están creando motos de ataque cada vez más innovadores en un intento de pasar por alto la detección y obtener acceso a organizaciones de todo el mundo», dijo la compañía, y agregó: «Esperamos que los actores de amenazas apuntaran a las identidades de los usuarios y al phishing de credencial AITM para convertirse en el estándar de la industria del crimen».
A partir del mes pasado, Microsoft anunció planes para mejorar la seguridad para actualizar la configuración predeterminada bloqueando los protocolos de autenticación heredados y solicitando el consentimiento del administrador para el acceso a la aplicación de terceros. Se espera que la actualización se complete en agosto de 2025.
«Esta actualización tendrá un impacto positivo en el paisaje en general y los actores de amenazas de los isquiotibiales utilizan esta técnica», señaló Proofpoint.
Esta divulgación sigue a la decisión de Microsoft de deshabilitar los enlaces de libros de trabajo externos de manera predeterminada entre octubre de 2025 y julio de 2026 para mejorar la seguridad de los libros de trabajo.
Los hallazgos se utilizan para implementar algunos de los malware .NET llamados Keyloggers VIP, que pueden usar correos electrónicos de phishing spear destinados como recibos de pago y usar inyectores basados en automóviles para robar datos confidenciales de hosts comprometidos, dijo Seqrite.
En los meses, se descubrió que las campañas de spam ocultan los enlaces de instalación al software de escritorio remoto en archivos PDF para evitar el correo electrónico y la protección de malware. Se cree que la campaña está dirigida principalmente a organizaciones de Francia, Luxemburgo, Bélgica y Alemania desde noviembre de 2024.
«Estos PDF a menudo están disfrazados de parecer facturas, contratos o listas de propiedades para aumentar la confiabilidad y atraer a las víctimas y hacer clic en los enlaces incorporados», dijo Secure. «El diseño tenía la intención de crear una ilusión de contenido legal oscuro y alentó a la víctima a instalar el programa. En este caso, el programa fue FleetDeck RMM».
Otras herramientas de monitoreo y gestión remota (RMM) implementadas como parte del clúster de actividad incluyen Action1, Optitune, Bluetrait, Syncro, SuperOps, Atera y Screenconnect.
«Si bien no se ha observado una carga útil posterior a la infección, el uso de herramientas RMM sugiere fuertemente su papel como vector de acceso inicial y podría permitir una actividad aún más maliciosa», agregó la compañía finlandesa. «Los operadores de ransomware en particular admiten este enfoque».
Source link
