Se ha observado que un actor de amenazas conocido como Storm-2657 secuestra cuentas de empleados con el objetivo final de desviar pagos de nómina a cuentas controladas por el atacante.
«Storm-2657 está apuntando activamente a empleados de varias organizaciones con sede en EE. UU., particularmente en sectores como la educación superior, y está obteniendo acceso a plataformas de software como servicio (SaaS) de recursos humanos (RRHH) de terceros como Workday», dijo el Microsoft Threat Intelligence Team en un informe.
Sin embargo, el gigante tecnológico advirtió que cualquier plataforma de software como servicio (SaaS) que almacene información personal, de pagos o de cuentas bancarias podría ser blanco de este tipo de campañas con motivación financiera. Algunos aspectos de la campaña, cuyo nombre en código es “Payroll Pirate”, han sido cubiertos anteriormente por Silent Push, Malwarebytes y Hunt.io.
Lo que hace que este ataque sea notable es que no explota ninguna falla de seguridad en el servicio en sí. Más bien, utilizan tácticas de ingeniería social y una falta de protección de autenticación multifactor (MFA) para tomar el control de las cuentas de los empleados y, en última instancia, modificar y enrutar la información de pago a cuentas controladas por actores de amenazas.
En una campaña observada por Microsoft a principios de 2025, los atacantes supuestamente obtuvieron acceso inicial a través de correos electrónicos de phishing diseñados para recopilar credenciales y códigos MFA utilizando enlaces de phishing de intermediario (AitM), obteniendo así acceso a cuentas de Exchange Online y apoderándose de los perfiles de Workday a través del inicio de sesión único (SSO).
También se ha observado que los actores de amenazas crean reglas en la bandeja de entrada que eliminan los correos electrónicos de notificación de alerta recibidos de Workday para ocultar cambios no autorizados realizados en los perfiles. Esto incluye cambiar la configuración de su nómina para redirigir futuros pagos de nómina a su cuenta administrada.
Para garantizar el acceso permanente a la cuenta, el atacante registra su número de teléfono como un dispositivo MFA para la cuenta de la víctima. Además, la cuenta de correo electrónico comprometida se utiliza para distribuir más correos electrónicos de phishing tanto dentro de la organización como a otras universidades.
Microsoft anunció que ha confirmado que 11 cuentas en tres universidades han sido comprometidas con éxito desde marzo de 2025, con correos electrónicos de phishing enviados a aproximadamente 6.000 cuentas de correo electrónico en 25 universidades. Los mensajes de correo electrónico contienen señuelos relacionados con notificaciones de enfermedades o mala conducta en el campus, lo que crea una falsa sensación de urgencia y engaña a los destinatarios para que hagan clic en un enlace falso.
Para reducir el riesgo que representa Storm-2657, recomendamos adoptar métodos MFA sin contraseña y resistentes al phishing, como claves de seguridad FIDO2, y verificar las cuentas en busca de signos de actividad sospechosa, como dispositivos MFA desconocidos o reglas de bandeja de entrada maliciosas.
Source link
