Los atacantes de phishing aprovechan escenarios de enrutamiento y protecciones contra suplantación de identidad mal configuradas para hacerse pasar por el dominio de una organización y distribuir correos electrónicos que parecen enviados internamente.
«Los actores de amenazas están aprovechando este vector para entregar una variedad de mensajes de phishing relacionados con varias plataformas de phishing como servicio (PhaaS), como Tycoon 2FA», dijo el equipo de Microsoft Threat Intelligence en un informe del martes. «Estos incluyen mensajes señuelo con temas como mensajes de voz, documentos compartidos, comunicaciones de recursos humanos, restablecimiento de contraseñas y fechas de vencimiento, etc., que conducen al phishing de credenciales».
Si bien este vector de ataque no es necesariamente nuevo, el gigante tecnológico dijo que ha visto un fuerte aumento en el uso de esta táctica desde mayo de 2025 como parte de campañas oportunistas dirigidas a una amplia gama de organizaciones en múltiples industrias y verticales. Esto incluye campañas que utilizan correos electrónicos falsificados para cometer fraude financiero contra organizaciones.
Un ataque exitoso puede permitir a los atacantes extraer credenciales y utilizarlas para actividades posteriores que van desde el robo de datos hasta el compromiso del correo electrónico empresarial (BEC).
Este problema ocurre principalmente en escenarios donde los inquilinos han configurado escenarios de enrutamiento complejos y la protección contra suplantación no se aplica estrictamente. Los ejemplos de enrutamiento complejo incluyen señalar registros del intercambiador de correo (registros MX) a un entorno Exchange local o a un servicio de terceros antes de llegar a Microsoft 365.
Esto crea una brecha de seguridad que los atacantes pueden aprovechar para enviar mensajes de phishing falsos que parecen originarse en el propio dominio del inquilino. Se ha descubierto que la mayoría de las campañas de phishing que utilizan este enfoque utilizan el kit Tycoon 2FA PhaaS. Microsoft anunció que bloqueó más de 13 millones de correos electrónicos maliciosos relacionados con este kit en octubre de 2025.
Los kits de herramientas PhaaS son plataformas plug-and-play que permiten a los estafadores crear y gestionar fácilmente campañas de phishing, haciéndolas accesibles para aquellos con habilidades técnicas limitadas. Proporcionan funciones como plantillas de phishing personalizables, infraestructura y otras herramientas para facilitar el robo de credenciales y evitar la autenticación multifactor mediante el phishing de tipo man-in-the-middle (AiTM).
El fabricante de Windows dijo que también descubrió correos electrónicos que engañaban a las organizaciones para que pagaran facturas falsas, lo que podría provocar pérdidas financieras. Los mensajes falsificados también pueden hacerse pasar por servicios legítimos, como DocuSign, o pretender ser de Recursos Humanos con respecto a cambios en el pago o los beneficios.
Los correos electrónicos de phishing que propagan fraude financiero a menudo se parecen a conversaciones entre el director ejecutivo de la organización objetivo, personas que solicitan el pago por los servicios prestados o el departamento de contabilidad de una empresa. También incluye tres archivos adjuntos que dan una falsa sensación de confianza al plan.
Facturas falsas por miles de dólares transferidas a cuentas bancarias. Formularios W-9 del IRS con los nombres y números de seguro social de las personas utilizadas para configurar las cuentas bancarias. Supuestamente, los empleados del banco en línea utilizado para configurar las cuentas bancarias proporcionaron cartas bancarias falsas.
«Pueden utilizar enlaces en los que se puede hacer clic en el cuerpo del correo electrónico, códigos QR en archivos adjuntos u otros medios para dirigir a los destinatarios a una página de inicio de phishing», añadió. «Parece que se envía desde una dirección de correo electrónico interna es la diferencia más notable para los usuarios finales y, a menudo, se utiliza la misma dirección de correo electrónico para los campos (Para) y (De)».
Para combatir este riesgo, recomendamos que las organizaciones establezcan políticas estrictas de rechazo de conformidad, informes y autenticación de mensajes basados en dominio (DMARC) y políticas de falla grave del marco de políticas del remitente (SPF), y configuren adecuadamente conectores de terceros, como servicios de filtro de spam y herramientas de archivo.
Tenga en cuenta que los inquilinos con registros MX que apuntan directamente a Office 365 no son vulnerables a los vectores de ataque. Además, si no necesita rechazar correos electrónicos que se hacen pasar por el dominio de su organización, le recomendamos desactivar el envío directo.
Source link
