Según una nueva investigación de Reliaquest, los actores de amenaza han abusado de las herramientas de clientes HTTP como Axios junto con las capacidades de envío directo de Microsoft, formando una «tubería de ataque muy eficiente» en las recientes campañas de phishing.
«La actividad del agente de usuario de Axios se ha disparado un 241% entre junio y agosto de 2025, y ha aumentado el crecimiento del 85% para todos los demás agentes de usuarios marcados», dijo la compañía de seguridad cibernética en un informe compartido con Hacker News. «De los 32 agentes de usuarios marcados observados en este período de tiempo, Axios representaron el 24.44% de todas las actividades».
El abuso de Axios fue marcado previamente por Proofpoint en enero de 2025, utilizando un cliente HTTP para enviar solicitudes HTTP, recibir respuestas HTTP de un servidor web e implementar un ataque de adquisición de cuentas (ATO) en un entorno de Microsoft 365.
Reliaquest le dijo a Hacker News que no había evidencia que sugiriera que estas actividades estaban relacionadas, y agregó que la herramienta se usa regularmente junto con los populares kits de phishing. «La utilidad de Axios significa que es casi seguro adoptado por todo tipo de actores de amenazas, independientemente de su nivel de refinamiento o motivación», agregó la compañía.
Del mismo modo, se observa cada vez más que las campañas de phishing utilizan las características legales de Microsoft 365 (M365) para enviar directamente a usuarios confiables y distribuir mensajes de correo electrónico.
Al amplificar el abuso de Axios a través del envío directo de Microsoft, el ataque tiene como objetivo armarse métodos de entrega confiables, asegurando que los mensajes pasen a través de una puerta de enlace segura y aterrizar en la bandeja de entrada del usuario. De hecho, se ha descubierto una campaña reciente cuando los ataques de Axios directamente enviados directamente de envío directo y emparejado han aumentado las campañas que no son del eje con «eficiencia incomparable».
Se dice que la campaña observada por Reliaquest comenzó en julio de 2025, inicialmente ejecutivos y gerentes independientes en los sectores de finanzas, salud y fabricación, y desde entonces se ha centrado en todos los usuarios.
Al llamar a este enfoque, el cambio de juego de un atacante, la compañía señaló que la campaña no solo logró mejorar la precisión y evitar las defensas de seguridad tradicionales, sino que también le permite llevar a cabo operaciones de phishing en una escala sin precedentes.
En estos ataques, Axios se usa para interceptar, modificar y reproducir solicitudes HTTP, lo que le permite capturar tokens de sesión o código de autenticación multifactor (MFA) en tiempo real, y le permite usar tokens SAS en flujos de trabajo de autenticación de Azure para acceder a recursos sensibles.
«Los atacantes usan este punto ciego para evitar MFA, tokens de sesión de secuestro y automatizar los flujos de trabajo de phishing», dijo Reliaquest. «La personalización proporcionada por Axios permite a los atacantes ajustar sus actividades e imitar aún más los flujos de trabajo legítimos».
Los mensajes de correo electrónico incluyen el uso de señuelos con temas de compensación para engañar a los destinatarios para abrir documentos PDF que contienen códigos QR maliciosos. Esto hará que los usuarios forjen páginas de inicio de sesión que imiten a Microsoft Outlook y promuevan el robo de calificación si se escanea. Como una capa adicional de evasión de defensa, algunas de estas páginas están alojadas en la infraestructura de Google Firebase para aprovechar la reputación de la plataforma de desarrollo de aplicaciones.
Además de reducir las barreras técnicas de los ataques sofisticados, la prevalencia en las configuraciones empresariales y de desarrolladores de Axios significa que proporciona a los atacantes una forma de combinarse con el tráfico normal y volar bajo el radar.
Para mitigar las poses de riesgo de esta amenaza, se alienta a las organizaciones a garantizar las presentaciones directas y deshabilitarlas si no son necesarias. Recomendamos configurar las políticas apropiadas contra la especie en su puerta de enlace de correo electrónico, capacitar a los empleados para reconocer los correos electrónicos de phishing y bloquear los dominios sospechosos.
«Axios amplifica el impacto de las campañas de phishing al llenar el vacío entre el acceso temprano y la explotación a gran escala. La capacidad de manipular los flujos de trabajo de autenticación y reproducir las solicitudes HTTP permite a los atacantes armarse las calificaciones robadas de una manera escalable y precisa».
«Esto hace que Axios sea esencial para el éxito de las campañas directas de phishing saliente, lo que demuestra cómo los atacantes están aprovechando los sistemas de autenticación y las API más allá de las tácticas de phishing tradicionales a un nivel donde las defensas tradicionales no pueden manejar».
El desarrollo ocurre como Mimecast ha detallado una campaña de recolección de calificación masiva dirigida a expertos en la industria de la hospitalidad, suplantando a Expedia Partner Central y Cloudbeds, una plataforma de gestión hotelera confiable que afirma ser confirmaciones de reservas de visitas y notificaciones centrales de los socios.
«Las operaciones de cosecha de esta calificación aprovechan la naturaleza de rutina de las comunicaciones de reservas de hoteles», dijo la compañía. «La campaña emplea una línea de asunto Urgent Business Critical diseñada para fomentar la acción inmediata de los gerentes y el personal de los hoteles».
Los hallazgos también roban credenciales de inicio de sesión de Microsoft y el paso del paso MFA, después del descubrimiento de una campaña en curso que adoptó la provisión de un nuevo phishing (PHAA) llamado Salty 2FA, y organiza la autenticación de SMS, aplicaciones de autenticación, teléfonos, notificaciones, códigos de respaldo y hardware.
Las cadenas de ataque son notables por aprovechar servicios como AHA (.) IO para engañar a los destinatarios del correo electrónico, haga clic en enlaces falsos que los redirigen a la página de cosecha de calificación y organizan la página de destino inicial para engañar a los destinatarios del correo electrónico, haga clic en los enlaces falsos que redirigen a la página de cosecha de calificación y luego complete la validación de tornillo de Cloudflare, verifique a las herramientas de seguridad de filtración de filtraciones y cajas de arena.
La página de phishing también incluye rangos de dirección IP de proveedores de seguridad conocidos y otras características avanzadas, como geofencing y filtrado IP ese tráfico de proveedores de nubes. Incorporando estos métodos, el objetivo final es complicar el esfuerzo analítico.
Estos hallazgos muestran cómo los ataques de phishing han madurado en las operaciones de grado empresarial. Esto hace que sea difícil recurrir a las tácticas de evasión avanzadas y las simulaciones persuasivas de MFA, aprovechan plataformas confiables, imitan el portal corporativo para distinguir entre actividades reales y fraudulentas.
«El kit de phishing implementa capacidades de marca dinámica para mejorar la efectividad de la ingeniería social», dijo Ontinue. «El análisis técnico muestra que la infraestructura maliciosa mantiene una base de datos de temas corporativos que personaliza automáticamente las interfaces de inicio de sesión de Rogue basadas en el dominio de correo electrónico de la víctima».
«Salty2FA muestra cómo los ciberdelincuentes ahora abordan la infraestructura en el mismo plan sistemático que las empresas usan para sus propios sistemas. Lo que es particularmente consciente de esto es cómo estas tecnologías difuminan la línea entre el tráfico legítimo y malicioso».
Source link
