Nueva estafa de phishing está en aumento, dirigida a ejecutivos de las industrias de seguros y servicios financieros para recolectar sus credenciales de Microsoft 365 y lanzar ataques de compromiso de correo electrónico empresarial (BEC), según un nuevo informe de Area 1 Security. Utilizan la confusión de transición para recolectar las credenciales de Microsoft y realizar ataques de suplantación de identidad.
Estos sofisticados ataques están dirigidos a ejecutivos de alto nivel, asistentes y departamentos financieros. Tienen la capacidad de evitar la seguridad del correo electrónico y las defensas de Office 365. Los investigadores mencionaron que la mayoría de los ataques que interceptaron intentaron violar los departamentos financieros. Aparentemente los ataques de suplantación de identidad comenzaron en diciembre y continuaron hasta febrero.
Según el informe, los atacantes podrían potencialmente obtener acceso a datos confidenciales de terceros a través de facturas y facturación, comúnmente conocido como ataque BEC (Business Email Compromise). Esto permite a los atacantes enviar facturas falsificadas desde direcciones de correo electrónico legítimas a los proveedores. Esto resulta en pagos a cuentas propiedad del atacante.
Estos ciberatacantes buscan también nuevos CEO durante sus períodos de transición. En este punto son más vulnerables, cuando es probable que se incorporen a la nómina y otros sistemas internos.
En una versión esta campaña maliciosa, los objetivos reciben una actualización de seguridad de Office 365 falsificada, enviada desde dominios con nombres temáticos de Microsoft para que parezcan aún más legítimos. Además, han configurado correctamente los registros SPF para obtener protecciones de autenticación.
Para evitar más la detección, los atacantes aprovecharon sus dominios impostores de Microsoft en los ataques de phishing después de que se registraron. Este cambio en el registro de dominios es una táctica común empleada que esperan atraer a tantas víctimas como sea posible antes de que sus dominios recién registrados se identifiquen como infraestructura de phishing.
Otra versión del ataque implica apoderarse de otras cuentas para enviar los mensajes de phishing. Los atacantes falsifican las direcciones de correo electrónico de remitentes conocidos para evadir la detección.
El objetivo del correo electrónico de phishing es engañar a las víctimas para que hagan clic en el botón «Aplicar actualización». Disfrazan como una actualización de seguridad, pero que las lleva a una página de inicio de sesión de Office 365 falsificada.
Asimismo, los investigadores mencionan que los archivos adjuntos HTML y HTM, el sitio de recolección de credenciales se carga automáticamente en el navegador de la víctima una vez que se abre el archivo.
Una vez implementado, los atacantes aplican una actualización de «meta» HTML para cargar el sitio de recolección de credenciales, que parece ser una «Declaración de privacidad» de Microsoft. De hacer clic en «Aceptar», se les lleva a una página que aparenta ser idéntica a la real.
En algunos casos, los atacantes fueron más sigilosos al buscar previamente el inicio de sesión de Office 365 localizado. Además, si la víctima ingresó su dirección de correo electrónico, el atacante verificaría que era una dirección válida de Office 365. En los casos en que la dirección de correo electrónico ingresada usaba acceso condicional, un inicio de sesión único (SSO) diferente, servicios de federación de Active Directory (ADFS), entre otros, el kit de phishing esencialmente se rompería y la víctima simplemente sería redirigida al inicio de sesión legítimo.
Después de que la víctima envía su contraseña, los actores de la amenaza tienen el control total de su correo electrónico y cualquier otro sistema en el que se haya utilizado la misma contraseña.
Los atacantes han empleado un par de tácticas nuevas para este ataque. El uso de herramientas de desarrollo web front-end gratuitas para crear las páginas falsas de Microsoft y el uso de websockets para tomar y enviar a los atacantes capturas de pantalla de la actividad de la víctima después de cada clic.
Comienza a ser frecuente es el uso de señuelos relacionados con Microsoft, incluidos Office 365 y Teams en ataques BEC. Recientemente, Cofense publicó un informe que encontró que el 45% de todos los correos electrónicos de phishing enviados en 2020 tenían temas de Microsoft.
Hay una gran cantidad de organizaciones que migran a Office 365. Apuntar a estas credenciales permite que el actor de amenazas obtenga acceso a la organización como un usuario legítimo para pasar desapercibido. Además, agregaron que se recomienda encarecidamente a las organizaciones que habiliten la autenticación multifactor junto con su migración / implementación de Office 365.
Office 365 es una mina de datos explotables, porque es muy utilizado por una fuerza de trabajo remota que confía en el servicio como un repositorio central de datos.
Las plataformas SaaS como Office 365 son un espacio seguro para el movimiento lateral de los atacantes. Es primordial centrarse en el acceso de los usuarios a las cuentas y los servicios. Los equipos de seguridad deben tener información sólida y expectativas sobre plataformas SaaS como Office 365. Así, los comportamientos maliciosos y el abuso de privilegios son más fáciles de identificar y mitigar rápidamente.
Cuando se recibe un correo electrónico que afirma provenir de forma interna y requiere hacer clic en un enlace o descargar un archivo adjunto, es una buena práctica confirmar la autenticidad del correo electrónico para evitar ser víctima de estos ataques. Todos los colaboradores deben estar familiarizados con la ciberseguridad básica, como abstenerse de hacer clic en enlaces externos desconocidos.
Fuente: ThreatPost
Para más información ingresar aquí.
Comentarios