Microsoft ha advertido sobre una campaña de phishing y compromiso de correo electrónico empresarial (BEC) de adversario en el medio (AitM) de varias etapas dirigida a múltiples organizaciones del sector energético.
«La campaña aprovechó el servicio de intercambio de archivos SharePoint para entregar una carga útil de phishing y se basó en la creación de reglas de bandeja de entrada para mantener la persistencia y evitar la concienciación del usuario», dijo el equipo de investigación de seguridad de Microsoft Defender. «El ataque evolucionó hacia una serie de ataques AitM y la posterior actividad BEC en múltiples organizaciones».
Como parte de la actividad posterior al exploit que siguió a la infracción inicial, se ha observado que atacantes desconocidos aprovechan las identidades internas confiables de las víctimas para llevar a cabo operaciones de phishing a gran escala dentro y fuera de las organizaciones, lanzando una amplia red y ampliando el alcance de sus campañas.
El ataque comenzó con un correo electrónico de phishing que parecía provenir de una dirección de correo electrónico que pertenecía a una organización confiable y que previamente había sido comprometida. Los atacantes explotaron este canal legítimo enviando mensajes disfrazados de flujos de trabajo de intercambio de documentos de SharePoint para fingir autenticidad y engañar a los destinatarios para que hicieran clic en la URL de phishing.
Servicios como SharePoint y OneDrive se utilizan ampliamente en entornos corporativos y los correos electrónicos se envían desde direcciones legítimas, por lo que es menos probable que despierten sospechas y permitan a los atacantes entregar enlaces de phishing o organizar cargas maliciosas. Este enfoque también se conoce como Living Off Trusted Sites (LOTS), ya que utiliza la facilidad de uso y la ubicuidad de dichas plataformas como arma para interrumpir los mecanismos de detección centrados en el correo electrónico.
Esta URL redirige al usuario a una solicitud de credencial falsa para ver el documento. Utilizando las credenciales robadas y las cookies de sesión, el atacante obtiene acceso a la cuenta y crea una regla de bandeja de entrada que elimina todos los correos electrónicos entrantes y marca todos los correos electrónicos como leídos. Una vez establecida esta base, las bandejas de entrada comprometidas se pueden utilizar para enviar mensajes de phishing que contengan URL falsas diseñadas para realizar robo de credenciales mediante ataques AitM.
En un caso, Microsoft dijo que los atacantes lanzaron una campaña de phishing a gran escala que incluía más de 600 correos electrónicos enviados a los contactos del usuario comprometido dentro y fuera de la organización. También se ha observado a los atacantes eliminando correos electrónicos no entregados o fuera de la oficina y tomando medidas para garantizar la autenticidad de los correos electrónicos si los destinatarios del mensaje expresan inquietudes. La comunicación se eliminará entonces de su buzón de correo.
«Estas técnicas son comunes a todos los ataques BEC y tienen como objetivo mantener a la víctima inconsciente de las acciones del atacante, lo que puede aumentar la persistencia», dijo el fabricante de Windows.
Microsoft dijo que el ataque resalta la «complejidad operativa» de AitM y dijo que el restablecimiento de contraseñas por sí solo no puede remediar la amenaza, ya que las organizaciones afectadas deben revocar las cookies de sesión activas y eliminar las reglas de la bandeja de entrada creadas por los atacantes que se utilizaron para evadir la detección.
Con este fin, la compañía dijo que ha trabajado con los clientes para revertir los cambios de autenticación multifactor (MFA) realizados por los atacantes en las cuentas de los usuarios comprometidos y eliminar las reglas cuestionables creadas en esas cuentas. En este momento, no está claro cuántas organizaciones se vieron comprometidas o si fue obra de conocidos grupos de delitos cibernéticos.
Recomendamos que las organizaciones trabajen con sus proveedores de identidad para garantizar que existan controles de seguridad, como MFA resistente al phishing, habilitar políticas de acceso condicional, implementar evaluaciones de acceso continuas y utilizar soluciones antiphishing que monitoreen y escaneen los correos electrónicos entrantes y los sitios web visitados.
El ataque descrito por Microsoft destaca una tendencia continua entre los atacantes a organizar malware abusando de servicios confiables como Google Drive, Amazon Web Services (AWS) y Confluence Wiki de Atlassian para redirigir a sitios de recolección de credenciales. Esto elimina la necesidad de que los atacantes construyan su propia infraestructura y hace que la actividad maliciosa parezca legítima.
La divulgación se produce después de que el proveedor de servicios de identidad Okta anunciara que había detectado un kit de phishing personalizado diseñado específicamente para su uso en campañas de phishing de voz (también conocido como vishing) dirigidas a Google, Microsoft, Okta y una amplia gama de plataformas de criptomonedas. En estas campañas, los atacantes se hacen pasar por representantes de soporte técnico y llaman a objetivos potenciales utilizando una línea directa de soporte falso o un número de teléfono de la empresa.
El objetivo de este ataque es engañar a los usuarios para que visiten una URL maliciosa y entreguen sus credenciales. Luego, esas credenciales se transmiten al atacante en tiempo real a través del canal Telegram, lo que permite el acceso no autorizado a la cuenta. Los esfuerzos de ingeniería social se planifican cuidadosamente, y los atacantes exploran sus objetivos y crean páginas de phishing personalizadas.
Vendido como un servicio, el kit incluye scripts del lado del cliente que permiten a un atacante controlar el flujo de autenticación en tiempo real en el navegador de un usuario objetivo al proporcionarle instrucciones verbales y convencerlo de realizar una acción que conduzca a la elusión de MFA, como aprobar una notificación automática o ingresar una contraseña de un solo uso.
«Estos kits permiten a los atacantes llamar a un usuario objetivo y controlar el flujo de autenticación cuando ese usuario interactúa con una página de phishing de credenciales», dijo Moussa Diallo, investigador de amenazas de Okta Threat Intelligence. «Un atacante puede controlar la página que un objetivo muestra en su navegador, completamente sincronizada con las instrucciones que proporciona durante una llamada. Los atacantes pueden aprovechar esta sincronización para derrotar cualquier forma de MFA que no sea resistente al phishing».
En las últimas semanas, las campañas de phishing han estado explotando las URL de autenticación básica (es decir, «nombre de usuario:contraseña@dominio(.)com») para engañar visualmente a las víctimas colocando un dominio confiable en el campo de nombre de usuario, seguido de un símbolo @ y el dominio malicioso real.
«Cuando los usuarios ven una URL que comienza con un dominio familiar y confiable, es probable que asuman que el enlace es legítimo y seguro para hacer clic», dijo Netcraft. «Sin embargo, el navegador interpreta todo lo que está antes del símbolo @ como credenciales de autenticación, no como parte del destino. El dominio real, o el dominio al que se conecta el navegador, se incluye después del símbolo @».
Otras campañas se basan en simples trucos de engaño visual, como el uso de «rn» en lugar de «m», para ocultar dominios maliciosos y engañar a las víctimas haciéndoles creer que están visitando dominios legítimos asociados con empresas como Microsoft («rnicrosoft(.)com»), Mastercard («rnastercard(.)de»), Marriott («rnarriotthotels(.)com») y Mitsubishi («rnitsubishielectric(.)com»). Esto se llama ataque de homoglifos.
«Aunque los atacantes suelen atacar marcas que comienzan con la letra M con esta técnica, algunos de los dominios más convincentes se obtienen intercambiando ‘m’ en palabras por ‘rn’ en palabras», dijo Ivan Khamenka de Netcraft. «Esta técnica se vuelve aún más peligrosa cuando aparece en palabras que las organizaciones comúnmente usan como parte de su marca, subdominios o identificadores de servicio. Términos como correo electrónico, mensaje, miembro, confirmación y correspondencia contienen la m en la palabra del medio, que los usuarios rara vez procesan».
Source link
