Microsoft dijo que más de 10.000 organizaciones han sido objeto de la campaña, que utiliza un sitio web falso para robar credenciales y cookies de sesión, permitiendo al atacante saltarse las salvaguardias de autenticación.
Los investigadores de seguridad de Microsoft han advertido de una campaña de phishing a gran escala que puede secuestrar las cuentas de usuario de Office 365 incluso cuando están protegidas con la autenticación multifactor (MFA).
Esta campaña ha intentado dirigirse a más de 10.000 organizaciones desde septiembre de 2021, según los datos de amenazas de Microsoft.
Los investigadores dijeron que los atacantes están utilizando credenciales robadas y cookies de sesión para acceder al buzón de la víctima y realizar campañas de seguimiento contra otros objetivos.
En los últimos años, las organizaciones han aumentado sus prácticas de seguridad en forma de MFA, ya que confiar en un solo factor, como una contraseña, puede ser débil por muchas razones.
Sin embargo, Microsoft dijo que esta campaña de cibercrimen está logrando burlar la medida de seguridad a través del phishing del adversario en el medio (AiTM).
En estos casos, el atacante despliega un servidor proxy entre un usuario objetivo y el sitio web que el usuario desea visitar. Según Microsoft, esta suplantación de identidad permite al atacante robar tanto la contraseña del usuario durante una sesión de inicio de sesión como la cookie de sesión que demuestra su sesión en curso y autenticada con el sitio web.
Microsoft dijo que estas cookies de sesión permiten al atacante saltarse todo el proceso de autenticación. La empresa señaló que no se trata de una vulnerabilidad de MFA en sí misma.
«Como el phishing AiTM roba la cookie de sesión, el atacante se autentifica en una sesión en nombre del usuario, independientemente del método de inicio de sesión que éste utilice», dijo Microsoft en un blogpost.
En esta campaña de phishing, Microsoft descubrió que los atacantes se dirigían a los usuarios de Office 365 suplantando la página de autenticación en línea de Office. La compañía señaló que estos sitios proxy son difíciles de detectar, ya que la URL es la única diferencia visible entre el sitio de phishing y el real.
Una vez que los actores de la amenaza obtuvieron acceso, pudieron entrar en las cuentas de correo electrónico de los empleados y engañar a los objetivos para que enviaran grandes sumas de dinero, que las víctimas creen que se envían a compañeros de trabajo o socios comerciales.
Para evitar ser detectados, los atacantes también configuraban reglas en la bandeja de entrada para que ciertos correos electrónicos se movieran automáticamente a una carpeta de archivo y se marcaran como leídos. También eliminaban sus propios correos electrónicos de la carpeta de elementos enviados.
«En una ocasión, el atacante realizó múltiples intentos de fraude simultáneamente desde el mismo buzón de correo comprometido», dijo Microsoft. «Cada vez que el atacante encontraba un nuevo objetivo de fraude, actualizaba la regla de la bandeja de entrada que había creado para incluir los dominios de la organización de estos nuevos objetivos».
Microsoft dijo que las organizaciones deberían considerar la posibilidad de complementar la protección MFA con señales adicionales basadas en la identidad, como la pertenencia al usuario o al grupo, la información sobre la ubicación IP y el estado del dispositivo.
CambioDigital OnLine | Fuente WEB