Llegamos a ustedes gracias a:



Alertas de Seguridad

Una campaña de phishing de Office 365 que puede eludir la MFA

Se dirige a 10 mil organizaciones

[13/07/2022] Investigadores de seguridad de Microsoft han descubierto una campaña de phishing a gran escala que utiliza técnicas de proxy HTTPS para secuestrar cuentas de Office 365. El ataque es capaz de saltarse la autenticación multifactor (MFA) y ha tenido como objetivo más de 10 mil organizaciones desde septiembre de 2021.

El objetivo de la campaña parece ser el compromiso del correo electrónico empresarial (BEC), un tipo de ataque en el que la cuenta de correo electrónico de un empleado se utiliza para engañar a otros empleados de las mismas organizaciones o socios comerciales externos para iniciar transferencias de dinero fraudulentas. Según el Centro de Denuncias de Delitos en Internet (IC3) del FBI, los ataques BEC han provocado más de 43 mil millones de dólares en pérdidas entre junio de 2016 y diciembre del 2021.

El poder del phishing del adversario en el medio (AiTM)

Los ataques observados por Microsoft comenzaban con la recepción por parte de las víctimas de correos electrónicos falsos que contenían archivos adjuntos HTML maliciosos. Algunos correos electrónicos se hacían pasar por notificaciones de correo de voz y dirigían a los usuarios a abrir los archivos adjuntos, que los redirigían a páginas que simulaban un progreso de descarga, pero que luego los redirigían de nuevo a una página falsa de inicio de sesión de Office 365.

Aunque esto parece un típico ataque de phishing, la implementación del backend es lo que los hace diferentes. En primer lugar, la dirección de correo electrónico del usuario se codifica en la URL de la página de redirección, y se utiliza para rellenar previamente el campo de inicio de sesión en las páginas de phishing. En segundo lugar, las propias páginas de phishing actúan como un proxy y extraen su contenido en tiempo real de la página legítima de inicio de sesión de Office 365.

Las páginas de phishing estaban alojadas en nombres de dominio habilitados para HTTPS, algunos de los cuales tenían nombres que suplantaban los servicios de Microsoft. Básicamente, el navegador de la víctima establecía una conexión TLS con ellos y la página establecía una conexión TLS con el sitio de inicio de sesión real. Como la dirección de correo electrónico se rellenaba automáticamente, los atacantes podían mostrar las páginas de inicio de sesión de Office 365 con la marca personalizada que las víctimas estaban acostumbradas a ver para sus propias organizaciones, lo que hacía más creíble el ataque.

Como la página de phishing actuaba como un proxy, reenviaba las credenciales introducidas por el usuario al sitio legítimo de Office 365 y, a continuación, mostraba en tiempo real la solicitud de MFA solicitada por el sitio web. El objetivo era completar el proceso de inicio de sesión en tiempo real y capturar la cookie de sesión del usuario.

La cookie de sesión es un identificador único establecido por los sitios web en los navegadores una vez que se ha completado con éxito un proceso de autenticación para recordar al usuario mientras navega por el sitio web sin pedirle que se autentique de nuevo.

"Según nuestra observación, después de que una cuenta comprometida iniciara sesión en el sitio de phishing por primera vez, el atacante utilizaba la cookie de sesión robada para autenticarse en Outlook online (outlook.office.com)", dijeron los investigadores de Microsoft en su informe. "En múltiples casos, las cookies tenían una reclamación MFA, lo que significa que incluso si la organización tenía una política MFA, el atacante utilizó la cookie de sesión para obtener acceso en nombre de la cuenta comprometida".

Esta técnica de phishing basada en el hombre en el medio de la web contra los sistemas de autenticación no es nueva y hay varios kits de herramientas de código abierto que permiten a los atacantes automatizar fácilmente estos ataques de phishing. El kit de herramientas utilizado en este caso se llama Evilginx2 y existe desde el 2018.

Vale la pena señalar que no todos los tipos de MFA pueden ser burlados por las técnicas de AiTM. Las soluciones que se ajustan al estándar FIDO 2 y se basan en un llavero conectado a la computadora o en un sensor de huellas dactilares en un dispositivo móvil no pueden ser proxies de esta manera. Incluso si las soluciones basadas en SMS o en códigos son vulnerables, utilizar cualquier forma de MFA es siempre mejor que no utilizarla, ya que hay una variedad de ataques menos sofisticados que serán bloqueados, como el relleno de credenciales y otras formas de robo de contraseñas.

Microsoft también recomienda habilitar políticas de acceso condicional que comprueben los dispositivos compatibles o las direcciones IP de confianza antes de completar la autenticación, así como supervisar continuamente los inicios de sesión sospechosos desde ubicaciones inusuales, ISP o con agentes de usuario no estándar.

Del phishing al BEC

Después de un compromiso exitoso, los atacantes buscaban en la bandeja de entrada de la víctima hilos de correo electrónico que mencionaran transacciones financieras o facturas en las que pudieran insertarse y comenzar a suplantar a la víctima. Una vez que identificaban un hilo de este tipo o un objetivo de fraude basándose en comunicaciones anteriores, elaboraban un correo electrónico dirigido a esa persona o entidad en nombre del propietario de la cuenta de correo electrónico, y configuraban una regla de filtrado de correo electrónico que marcaba automáticamente como leída cualquier respuesta futura de ese corresponsal y la archivaba.

También eliminaban los mensajes que enviaban de las carpetas de borradores, enviados y basura, y seguían comprobando cada pocas horas si había respuestas en la carpeta de archivo. "En una ocasión, el atacante realizó múltiples intentos de fraude simultáneamente desde el mismo buzón de correo comprometido. Cada vez que el atacante encontraba un nuevo objetivo de fraude, actualizaba la regla de la bandeja de entrada que había creado para incluir los dominios de organización de estos nuevos objetivos".

En algunos casos, los atacantes tardaban tan solo cinco minutos en identificar a una víctima potencial de fraude a la que pudieran engañar, y empezar a enviarle mensajes desde el correo electrónico comprometido. A veces las comunicaciones de ida y vuelta duraban días y hay indicios de que el fraude se realizaba manualmente.

Microsoft recomienda que las organizaciones establezcan políticas para supervisar las reglas de la bandeja de entrada que podrían tener fines sospechosos o para activar alertas por cantidades inusuales de eventos de acceso al correo por parte de direcciones IP o dispositivos no confiables.

Primer Contacto

Más »

Casos de éxito

Más »