Microsoft ha alertado sobre una campaña de phishing de intermediario (AitM) y compromiso de correo electrónico empresarial (BEC) de múltiples etapas que apunta a varias organizaciones del sector energético. Según el equipo de investigación de seguridad de Microsoft Defender, la campaña abusa de los servicios de intercambio de archivos de SharePoint para entregar cargas útiles de phishing y se basa en la creación de reglas de bandeja de entrada para mantener la persistencia y evadir la conciencia del usuario. El ataque evolucionó hacia una serie de ataques AitM y actividades BEC posteriores que abarcan múltiples organizaciones.
Como parte de las actividades posteriores a la explotación tras el compromiso inicial, se ha descubierto que los atacantes desconocidos utilizan identidades internas de confianza de la víctima para llevar a cabo phishing intraorganizacional y externo a gran escala, con el objetivo de ampliar el alcance de la campaña. El punto de partida del ataque es un correo electrónico de phishing probablemente enviado desde una dirección de correo electrónico perteneciente a una organización de confianza que fue comprometida previamente. Abusando de este canal legítimo, los actores de amenazas enviaron mensajes que se hacían pasar por flujos de trabajo de intercambio de documentos de SharePoint para darles una apariencia de credibilidad y engañar a los destinatarios para que hicieran clic en URL de phishing.
Dado que servicios como SharePoint y OneDrive son ampliamente utilizados en entornos empresariales y los correos electrónicos se originan desde una dirección legítima, es poco probable que generen sospechas, lo que permite a los adversarios entregar enlaces de phishing o alojar cargas útiles maliciosas. Este enfoque también se conoce como living-off-trusted-sites (LOTS), ya que aprovecha la familiaridad y ubicuidad de dichas plataformas para eludir los mecanismos de detección centrados en el correo electrónico.
La URL, por su parte, redirige a los usuarios a un mensaje de credenciales falso para ver el supuesto documento. Armados con acceso a la cuenta mediante credenciales robadas y la cookie de sesión, los atacantes crean reglas de bandeja de entrada para eliminar todos los correos electrónicos entrantes y marcar todos los correos como leídos. Con esta base establecida, la bandeja de entrada comprometida se utiliza para enviar mensajes de phishing que contienen una URL falsa diseñada para realizar un robo de credenciales mediante un ataque AitM.
En un caso, Microsoft señaló que el atacante inició una campaña de phishing a gran escala que involucró más de 600 correos electrónicos enviados a los contactos del usuario comprometido, tanto dentro como fuera de la organización. También se ha observado que los actores de amenazas toman medidas para eliminar correos electrónicos no entregados y de ausencia, y asegurar a los destinatarios del mensaje la autenticidad del correo electrónico si planteaban alguna inquietud. Luego, la correspondencia se elimina de la bandeja de entrada.
Microsoft señaló que el ataque destaca la "complejidad operativa" de AitM, afirmando que solo restablecer contraseñas no puede remediar la amenaza, ya que las organizaciones afectadas deben asegurarse de haber revocado las cookies de sesión activas y eliminado las reglas de bandeja de entrada creadas por los atacantes utilizadas para evadir la detección. Con ese fin, la compañía señaló que trabajó con los clientes para revocar los cambios de autenticación multifactor (MFA) realizados por el atacante en las cuentas de los usuarios comprometidos y eliminar las reglas sospechosas creadas en esas cuentas. Actualmente no se sabe cuántas organizaciones fueron comprometidas ni si es obra de algún grupo conocido de ciberdelincuencia.
Se recomienda a las organizaciones que trabajen con su proveedor de identidad para asegurarse de que existen controles de seguridad como MFA resistente al phishing, habilitar políticas de acceso condicional, implementar evaluación continua de acceso y utilizar soluciones antiphishing que monitoreen y escaneen los correos electrónicos entrantes y los sitios web visitados.
El ataque descrito por Microsoft resalta la tendencia actual entre los actores de amenazas de abusar de servicios de confianza como Google Drive, Amazon Web Services (AWS) y Confluence de Atlassian para redirigir a sitios de robo de credenciales y alojar malware. Esto elimina la necesidad de que los atacantes construyan su propia infraestructura y hace que la actividad maliciosa parezca legítima.
La divulgación se produce mientras el proveedor de servicios de identidad Okta anunció que detectó kits de phishing personalizados diseñados específicamente para su uso en campañas de phishing de voz (vishing) dirigidas a Google, Microsoft, Okta y una amplia gama de plataformas de criptomonedas. En estas campañas, el adversario, haciéndose pasar por personal de soporte técnico, llama a posibles objetivos utilizando un número de teléfono de soporte falsificado o un número de empresa. Los ataques tienen como objetivo engañar a los usuarios para que visiten una URL maliciosa y entreguen sus credenciales, que posteriormente se transmiten a los actores de amenazas en tiempo real a través de un canal de Telegram, otorgándoles acceso no autorizado a sus cuentas.
Los kits, vendidos bajo un modelo de servicio, incluyen scripts del lado del cliente que permiten a los actores de amenazas controlar el flujo de autenticación en el navegador de un usuario objetivo en tiempo real, mientras proporcionan instrucciones verbales y convencen al usuario para que realice acciones (como aprobar notificaciones push o ingresar contraseñas de un solo uso) que conduzcan a una evasión de MFA.
En las últimas semanas, las campañas de phishing han explotado URL de autenticación básica (es decir, "usuario:contraseña@dominio[.]com") colocando un dominio de confianza en el campo de nombre de usuario, seguido de un símbolo @ y el dominio malicioso real para engañar visualmente a la víctima. Cuando un usuario ve una URL que comienza con un dominio familiar y de confianza, puede suponer que el enlace es legítimo y seguro para hacer clic. Sin embargo, el navegador interpreta todo lo que está antes del símbolo @ como credenciales de autenticación, no como parte del destino. El dominio real, o al que se conecta el navegador, se incluye después del símbolo @.
Otras campañas han recurrido a trucos simples de engaño visual, como usar "rn" en lugar de "m" para ocultar dominios maliciosos y engañar a las víctimas haciéndoles creer que están visitando un dominio legítimo asociado con empresas como Microsoft ("rnicrosoft[.]com"), Mastercard ("rnastercard[.]de"), Marriott ("rnarriotthotels[.]com") y Mitsubishi ("rnitsubishielectric[.]com"). Esto se conoce como ataque homoglifo.
