Office 365: tus log in cookies podrían estar comprometidas
Desde septiembre de 2021, una campaña masiva de phishing se ha dirigido a los usuarios de Office 365 (es decir, Microsoft 365) en más de 10.000 organizaciones y ha logrado eludir la autenticación multifactor (MFA) establecida para proteger las cuentas.
Los atacantes utilizan servidores proxy y sitios web de phishing para robar la contraseña y la cookie de sesión de los usuarios. Su objetivo final es acceder a los correos electrónicos relacionados con las finanzas y secuestrar los hilos de correo electrónico en curso para cometer fraudes de pago y montar campañas de compromiso de correo electrónico comercial (BEC) contra otros objetivos, explicaron los investigadores de Microsoft.
Phishing a objetivos de Office 365 con MFA activado en sus cuentas
Los atacantes comienzan enviando correos electrónicos de phishing a varios destinatarios en diferentes organizaciones. Los correos electrónicos suelen ser falsas notificaciones sobre llamadas telefónicas perdidas e instan al destinatario a descargar el archivo adjunto para escuchar el mensaje de voz grabado.
La artimaña es sólo para que el destinatario sea dirigido primero a un sitio de redirección y luego a una página de autenticación en línea de Office 365 falsificada que ha sido rellenada con la dirección de correo electrónico del destinatario.
«El sitio de phishing proxyaba la página de inicio de sesión de Azure Active Directory (Azure AD) de la organización, que suele ser login.microsoftonline.com. Si la organización había configurado su Azure AD para incluir su marca, la página de destino del sitio de phishing también contenía los mismos elementos de marca», señaló Microsoft.»Una vez que el objetivo introducía sus credenciales y se autenticaba, era redirigido a la página legítima de office.com. Sin embargo, en segundo plano, el atacante interceptaba dichas credenciales y se autenticaba en nombre del usuario. Esto permitía al atacante realizar actividades posteriores -en este caso, fraudes de pago- desde la organización».
Una vez que los atacantes tenían acceso desde hace tiempo a las cuentas de correo electrónico comprometidas, buscaban correos electrónicos e hilos de correo electrónico relacionados con las finanzas, respondían a ellos e intentaban estafar a la persona/organización del otro lado. Para ocultar esta actividad al propietario de la cuenta de correo electrónico, utilizaron reglas para ocultar las respuestas (archivándolas y marcándolas como «leídas»).
Los atacantes están encontrando formas de evitar la AMF
Utilizar cualquier forma de AMF es mejor que no utilizarla, aunque algunas formas de proporcionar factores de autenticación son más seguras que otras.
Pero hay formas de eludir la AMF, y los atacantes las están probando todas: aplicaciones falsas, vulnerabilidades, protocolos de autenticación heredados, envío de spam al usuario objetivo con mensajes de AMF, y otras.
Según los investigadores, los atacantes de esta campaña están utilizando el kit de phishing Evilginx2 para poner en marcha su infraestructura de adversario en el medio (AiTM) y lograr la capacidad de eludir la MFA.
«La MFA sigue siendo muy eficaz para detener una amplia variedad de amenazas; su eficacia es la razón por la que el phishing AiTM surgió en primer lugar. Por lo tanto, las organizaciones pueden hacer que su implementación de MFA sea ‘resistente al phishing’ utilizando soluciones que soporten Fast ID Online (FIDO) v2.0 y la autenticación basada en certificados», señalaron, y sugirieron soluciones adicionales y mejores prácticas que pueden implementarse para obstaculizar a los atacantes que utilizan estas tácticas particulares.
Fuente: HelpNetSecurity