Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

Dumb Co me ofreció reemplazar mi iPhone por un teléfono plegable pirateado

La UE amenaza con multar a Meta por funciones adictivas en Facebook e Instagram

IH-MIE pide innovación en hidrógeno

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»Un hacker utiliza un registro falso de Microsoft Entra Passkey para obtener acceso a Microsoft 365
Identidad

Un hacker utiliza un registro falso de Microsoft Entra Passkey para obtener acceso a Microsoft 365

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 10, 2026No hay comentarios5 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

Rabi Lakshmanan10 de julio de 2026Seguridad/autenticación empresarial

Los actores de amenazas se dirigen a organizaciones de múltiples sectores con solicitudes de seguridad falsas basadas en voz que solicitan a los usuarios de Microsoft 365 que registren una nueva clave de acceso de Entra con el objetivo de realizar ataques de extorsión de datos.

El atacante, rastreado por Okta con el nombre O-UNC-066, ha implementado un kit de phishing controlado por panel que puede apuntar al proceso de registro de clave de acceso. Esta actividad cubre las industrias de alimentos y bebidas, tecnología, salud, automoción, construcción y aviación.

«Como parte de un esquema de phishing (‘vishing’) habilitado por voz, los atacantes registran dominios que incorporan la palabra clave de acceso», dijo el investigador de Okta, Houssem Eddine Bordjiba. » afirma. «El atacante luego llama al usuario objetivo e intenta convencerlo de que necesita registrar una nueva clave de acceso».

Luego, los usuarios son dirigidos a un kit de phishing que pasa por el mismo proceso de registro de clave de acceso de Microsoft, dando la impresión de que están agregando una clave de acceso a Microsoft, cuando en realidad, el actor de la amenaza registra su propia clave de acceso para la cuenta de Microsoft del usuario, lo que permite el acceso no autorizado.

Este desarrollo se produce al mismo tiempo que permitimos a las organizaciones impulsar la adopción de claves de acceso a escala al permitir a los administradores configurar campañas de registro que solicitan a los usuarios que registren una clave de acceso al iniciar sesión. En otras palabras, los atacantes están explotando el proceso de actualización de seguridad resistente al phishing como una invitación a registrar sus propias claves de acceso dentro de las cuentas de las víctimas y facilitar sus actividades posteriores.

A diferencia de las páginas de inicio de tipo man-in-the-middle (AitM) que prevalecen en las campañas de phishing destinadas a robar credenciales o tokens de autenticación multifactor (MFA), los kits de phishing utilizados en estos ataques son paneles PHP controlados por operadores que guían a las víctimas a través del proceso de registro de la clave de acceso casi en tiempo real.

«Los operadores pueden usar el kit para adaptar la experiencia del usuario a los requisitos MFA de cada víctima (TOTP, notificaciones automáticas con coincidencia de números, SMS OTP) durante una sesión», dijo la firma de seguridad de identidad. «Las personas que llaman pueden controlar y ajustar las páginas de phishing y las notificaciones que se muestran a sus usuarios objetivo en tiempo real».

Se sospecha que los atacantes utilizan este kit para apoderarse de las cuentas de las víctimas y engañar a los usuarios para que aprueben los registros de claves de acceso iniciados por los atacantes. En este momento, no hay indicios de que el kit redirija a los usuarios a proveedores de identidad externos como Okta.

La secuencia completa de acciones es la siguiente:

La primera página (/gate) del kit de phishing muestra un icono de carga de página mientras el kit de phishing realiza comprobaciones antianálisis en segundo plano. La segunda página (/identify) solicita su nombre de usuario. La página siguiente (/contraseña) solicita al usuario una contraseña. Las credenciales recopiladas se envían en una solicitud POST al panel del operador en ‘/backend.php’. El operador del kit de phishing (que probablemente sea diferente de la persona que llama a la víctima) ingresa las credenciales robadas en una página de inicio de sesión legítima de Microsoft para el inquilino objetivo. A las víctimas se les presenta una página «/procesamiento» que proporciona otra pantalla de carga mientras esperan instrucciones del operador basadas en el desafío MFA observado presentado en el flujo legítimo. Al usuario se le presenta la siguiente página del kit de phishing: «/submit-otp» para desafíos de contraseña de un solo uso (OTP) basados ​​en SMS, «/submit-authenticator» para desafíos de OTP basados ​​en tiempo y «/approve-authenticator» para desafíos de MFA push. La OTP capturada se enviará a ‘/backend.php’ en una solicitud POST.

En este punto, la víctima fue engañada por teléfono para que autorizara el acceso a la cuenta de Microsoft 365 del atacante. Luego, la cadena de ataque comienza otra serie de acciones centradas en el pretexto de la clave de acceso.

Las víctimas son redirigidas a la página «/contraseña/registro», que indica al usuario que cree una clave de acceso. La página «/passkey» de Microsoft solicita a los usuarios que guarden su clave de recuperación para confirmar la clave de acceso. La página «/passkey/check» le pide al usuario que confirme la última palabra utilizada en la frase inicial. La página «/done» confirma que el registro de la clave de acceso se realizó correctamente.

La clave de recuperación contiene una serie de 12 palabras similares a la frase de recuperación secreta o frase mnemotécnica típicamente asociada con las billeteras de criptomonedas. Este paso ha sido evaluado como un mecanismo de distracción para mantener a la víctima concentrada mientras registra su clave de acceso en su cuenta de Microsoft.

«El kit de phishing parece aprovecharse de la falta de familiaridad de los usuarios con la autenticación mediante clave de acceso», explicó Okta. «En una ceremonia de registro de clave de acceso real, los usuarios podrían esperar que un cuadro de diálogo del sistema registre una clave de acceso en su dispositivo. La página de clave de acceso de este kit de phishing parece imitar este proceso sin registrar una clave de acceso».

Okta señaló que el atacante asociado con O-UNC-066 ha estado operando un sitio de violación de datos con el nombre Pink desde abril de 2026. La Unidad 42 de Palo Alto Networks está rastreando este clúster como CL-CRI-1147 y lo describe como conectado a un grupo de cibercrimen descentralizado conocido como The Com, que también incluye a Scattered Spider, ShinyHunters y LAPSUS$.


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleUn atacante aprovecha la vulnerabilidad ‘Ill Bloom’ para robar 3,1 millones de dólares de una billetera de criptomonedas
Next Article Investigamos 281 aplicaciones VPN gratuitas para Android y encontramos fugas de tráfico, datos no cifrados y seguimiento.
corp@blsindustriaytecnologia.com
  • Website

Related Posts

Una falla XRING sin parche en XQUIC hace que el cliente remoto bloquee el servidor HTTP/3

julio 10, 2026

Cómo Lumen Technologies reinventó el control de exposición a escala

julio 10, 2026

El servidor de hackers expuesto revela que WP-SHELLSTORM tiene puertas traseras en miles de sitios de WordPress

julio 10, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

Dumb Co me ofreció reemplazar mi iPhone por un teléfono plegable pirateado

La UE amenaza con multar a Meta por funciones adictivas en Facebook e Instagram

IH-MIE pide innovación en hidrógeno

Una falla XRING sin parche en XQUIC hace que el cliente remoto bloquee el servidor HTTP/3

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.