Microsoft ha despierto sobre una campaña de phishing y compromiso de correo electrónico empresarial (BEC) de adversario en el medio (AitM) de varias etapas dirigida a múltiples organizaciones del sector energético.
“La campaña abusó de los servicios de intercambio de archivos de SharePoint para entregar cargas aperos de phishing y se basó en la creación de reglas de la bandeja de entrada para proseguir la persistencia y evitar la conciencia del beneficiario”, afirmó el equipo de investigación de seguridad de Microsoft Defender. “El ataque pasó a ser una serie de ataques AitM y actividades posteriores de BEC que abarcaron múltiples organizaciones”.
Como parte de la actividad posterior a la explotación tras el compromiso auténtico, se ha descubierto que los atacantes desconocidos aprovechan las identidades internas confiables de la víctima para transigir a lado phishing forastero e intraorganizacional a gran escalera en un esfuerzo por extender una red más amplia y ampliar el inteligencia de la campaña.
El punto de partida del ataque es un correo electrónico de phishing probablemente enviado desde una dirección de correo electrónico perteneciente a una ordenamiento confiable, que fue comprometida de antemano. Abusando de este canal seguro, los actores de amenazas enviaron mensajes disfrazados de flujos de trabajo de intercambio de documentos de SharePoint para darle una apariencia de credibilidad y engañar a los destinatarios para que hicieran clic en URL de phishing.
Oportuno a que servicios como SharePoint y OneDrive se utilizan ampliamente en entornos empresariales y los correos electrónicos se originan en una dirección legítima, es poco probable que generen sospechas, lo que permite a los adversarios entregar enlaces de phishing o organizar cargas maliciosas. Este enfoque igualmente se denomina morar en sitios confiables (LOTS), ya que utiliza la amistad y omnipresencia de dichas plataformas como armas para trastornar los mecanismos de detección centrados en el correo electrónico.
La URL, por su parte, redirige a los usuarios a una solicitud de credencial falsa para ver el supuesto documento. Armados con golpe a la cuenta utilizando las credenciales robadas y la cookie de sesión, los atacantes crean reglas de bandeja de entrada para eliminar todos los correos electrónicos entrantes y marcar todos los correos electrónicos como leídos. Con esta saco implementada, la bandeja de entrada comprometida se utiliza para expedir mensajes de phishing que contienen una URL falsa diseñada para realizar el robo de credenciales mediante un ataque AitM.
En un caso, Microsoft dijo que el atacante inició una campaña de phishing a gran escalera que involucró más de 600 correos electrónicos que fueron enviados a los contactos del beneficiario comprometido, tanto interiormente como fuera de la ordenamiento. Asimismo se ha observado que los actores de amenazas toman medidas para eliminar correos electrónicos no entregados y fuera de la oficina, y afianzar a los destinatarios del mensaje la autenticidad del correo electrónico si plantearon alguna inquietud. Luego la correspondencia se elimina del casilla.
“Estas técnicas son comunes en cualquier ataque BEC y tienen como objetivo proseguir a la víctima inconsciente de las operaciones del atacante, ayudando así a la persistencia”, señaló el fabricante de Windows.
Microsoft dijo que el ataque resalta la “complejidad operativa” de AitM, afirmando que el restablecimiento de contraseñas por sí solo no puede remediar la amenaza, ya que las organizaciones afectadas deben cerciorarse de sobrevenir revocado las cookies de sesión activas y eliminado las reglas de la bandeja de entrada creadas por el atacante y utilizadas para evitar la detección.
Con ese fin, la compañía señaló que trabajó con los clientes para revocar los cambios de autenticación multifactor (MFA) realizados por el atacante en las cuentas del beneficiario comprometido y eliminar las reglas sospechosas creadas en esas cuentas. Actualmente no se sabe cuántas organizaciones se vieron comprometidas y si es el trabajo de algún categoría de cibercrimen conocido.
Se recomienda a las organizaciones que trabajen con su proveedor de identidad para cerciorarse de que existan controles de seguridad como MFA resistente al phishing, habilitar políticas de golpe condicional, implementar una evaluación de golpe continua y utilizar soluciones anti-phishing que monitoreen y escaneen los correos electrónicos entrantes y los sitios web visitados.
El ataque descrito por Microsoft destaca la tendencia presente entre los actores de amenazas a forzar de servicios confiables como Google Drive, Amazon Web Services (AWS) y el wiki Confluence de Atlassian para redirigir a sitios de monasterio de credenciales y preparar malware. Esto elimina la falta de que los atacantes construyan su propia infraestructura y hace que la actividad maliciosa parezca legítima.
La divulgación se produce cuando el proveedor de servicios de identidad Okta dijo que detectó kits de phishing personalizados que están diseñados específicamente para su uso en campañas de phishing de voz (igualmente conocido como vishing) dirigidas a Google, Microsoft, Okta y una amplia variedad de plataformas de criptomonedas. En estas campañas, el adversario, haciéndose advenir por personal de soporte técnico, claridad a posibles objetivos utilizando una dirección directa de soporte falsa o un número de teléfono de la empresa.
Los ataques tienen como objetivo engañar a los usuarios para que visiten una URL maliciosa y entreguen sus credenciales, que luego se transmiten a los actores de la amenaza en tiempo efectivo a través de un canal de Telegram, otorgándoles golpe no calificado a sus cuentas. Los esfuerzos de ingeniería social están proporcionadamente planificados: los atacantes realizan reconocimientos de los objetivos y crean páginas de phishing personalizadas.
Los kits, que se venden como servicio, vienen equipados con scripts del banda del cliente que permiten a los actores de amenazas controlar el flujo de autenticación en el navegador de un beneficiario objetivo en tiempo efectivo, ya que proporcionan instrucciones verbales y los convencen de tomar acciones (por ejemplo, aprobar notificaciones automáticas o ingresar contraseñas de un solo uso) que conducirían a una elusión de MFA.
“Al utilizar estos kits, un atacante que palabra por teléfono con un beneficiario objetivo puede controlar el flujo de autenticación a medida que ese beneficiario interactúa con páginas de phishing de credenciales”, dijo Moussa Diallo, investigador de amenazas de Okta Threat Intelligence. “Pueden controlar qué páginas ve el objetivo en su navegador en perfecta sincronización con las instrucciones que brindan en la emplazamiento. El actor de amenazas puede usar esta sincronización para derrotar cualquier forma de MFA que no sea resistente al phishing”.
En las últimas semanas, las campañas de phishing han explotado las URL de autenticación básica (es afirmar, “nombre de beneficiario:contraseña@dominio(.)com”) colocando un dominio confiable en el campo de nombre de beneficiario, seguido de un símbolo @ y el dominio pillo efectivo para engañar visualmente a la víctima.
“Cuando un beneficiario ve una URL que comienza con un dominio íntimo y confiable, puede aceptar que el enlace es seguro y seguro para hacer clic”, dijo Netcraft. “Sin incautación, el navegador interpreta todo lo que está ayer del símbolo @ como credenciales de autenticación, no como parte del destino. El dominio efectivo, o aquel al que se conecta el navegador, se incluye a posteriori del símbolo @”.
Otras campañas han recurrido a simples trucos de farsa visual como usar “rn” en empleo de “m” para ocultar dominios maliciosos y engañar a las víctimas haciéndoles creer que están visitando un dominio seguro asociado con compañías como Microsoft (“rnicrosoft(.)com”), Mastercard (“rnastercard(.)de”), Marriott (“rnarriotthotels(.)com”) y Mitsubishi (“rnitsubishielectric(.)com”). A esto se le claridad ataque de homoglifos.
“Si proporcionadamente los atacantes suelen apuntar a marcas que comienzan con la composición M para esta técnica, algunos de los dominios más convincentes provienen del intercambio de una ‘m’ interna con palabras internas ‘rn'”, dijo Ivan Khamenka de Netcraft. “Esta técnica se vuelve aún más peligrosa cuando aparece en palabras que las organizaciones comúnmente usan como parte de su marca, subdominios o identificadores de servicio. Términos como correo electrónico, mensaje, miembro, confirmación y comunicación contienen m a parte de palabra que los usuarios al punto que procesan”.
