Los investigadores de ciberseguridad han detallado un nuevo clúster de actividad donde los actores de amenaza están haciendo acontecer por empresas con aplicaciones falsas de Microsoft Oauth para allanar la monasterio de credenciales como parte de los ataques de adquisición de cuentas.
“Las aplicaciones falsas de Microsoft 365 se hacen acontecer por varias compañías, incluidas RingCentral, SharePoint, Adobe y Docusign”, dijo Proofpoint en un mensaje del jueves.
La campaña en curso, detectada por primera vez a principios de 2025, está diseñada para utilizar las aplicaciones OAuth como una puerta de enlace para obtener entrada no acreditado a las cuentas de Microsoft 365 de los usuarios mediante kits de phishing como magnate y ODX que son capaces de sobrellevar a sitio la phishing de autenticación multifactor (MFA).
La compañía de seguridad empresarial dijo que observó que el enfoque se utiliza en campañas de correo electrónico con más de 50 aplicaciones ilegativas.
Los ataques comienzan con los correos electrónicos de phishing enviados desde cuentas comprometidas y tienen como objetivo engañar a los destinatarios para que haga clic en URL con el pretexto de compartir solicitudes de cotizaciones (RFQ) o acuerdos de contratos comerciales.
Al hacer clic en estos enlaces, dirige a la víctima a una página de Microsoft OAuth para una aplicación citación “Ilsmart” que les pide que le otorguen permisos para ver su perfil sustancial y surtir el entrada continuo a los datos a los que se les ha otorgado entrada.
Lo que hace que este ataque sea trascendental es la suplantación de Ilsmart, un mercado razonable en cadeneta para las industrias de aviación, escuadra y de defensa para comprar y traicionar piezas y servicios de reparación.
“Los permisos de las aplicaciones proporcionarían un uso definido a un atacante, pero se utiliza para establecer la ulterior etapa del ataque”, dijo Proofpoint.
Independientemente de si el objetivo aceptó o negó los permisos solicitados, primero se redirigen a una página de Captcha y luego a una página de autenticación de cuentas de Microsoft falsa una vez que se completa la demostración.
Esta página falsa de Microsoft utiliza técnicas de phishing adversary-in-the-Middle (AITM) impulsadas por la plataforma Tycoon Phishing-As-A-Service (PHAAS) para cosechar las credenciales y los códigos MFA de la víctima.
Tan recientemente como el mes pasado, Proofpoint dijo que detectó otra campaña que se hace acontecer por Adobe en la que se envían los correos electrónicos a través de Twilio SendGrid, una plataforma de marketing por correo electrónico, y están diseñados con el mismo objetivo en mente: obtener autorización del beneficiario o activar un flujo de rescisión que redirige a la víctima a una página de phishing.
La campaña representa solo una caída en el cubo en comparación con la actividad normal relacionada con el magnate, con los múltiples grupos aprovechando el gozne de herramientas para realizar ataques de adquisición de cuentas. Solo en 2025, se han observado un intento de compromiso de cuenta que afectan a casi 3.000 cuentas de usuarios que abarcan más de 900 entornos de Microsoft 365.
“Los actores de amenaza están creando cadenas de ataque cada vez más innovadoras en un intento de evitar detecciones y obtener entrada a las organizaciones a nivel mundial”, dijo la compañía, y agregó que “anticipa que los actores de amenaza se dirigirán cada vez más a la identidad de los usuarios, con el phishing de credencial de AITM convirtiéndose en el unificado de la industria criminal”.
A partir del mes pasado, Microsoft ha anunciado planes para poner al día la configuración predeterminada para mejorar la seguridad bloqueando los protocolos de autenticación heredados y requerir el consentimiento de administrador para el entrada a la aplicación de terceros. Se paciencia que las actualizaciones se completen en agosto de 2025.
“Esta aggiornamento tendrá un impacto positivo en el paisaje en normal y los actores de amenazas de los isquiotibiales que usan esta técnica”, señaló Proofpoint.
La divulgación sigue a la osadía de Microsoft de deshabilitar los enlaces de libros de trabajo externos a los tipos de archivos bloqueados de modo predeterminada entre octubre de 2025 y julio de 2026 en un intento de mejorar la seguridad del obra de trabajo.
Los hallazgos incluso se producen cuando los correos electrónicos de phishing de lanceta que llevan los supuestos recibos de suscripción se utilizan para implementar mediante un inyector basado en necropsia, una cuarto de malware .NET llamado Keylogger VIP que puede robar datos confidenciales de hosts comprometidos, dijo SeqRite.
En el transcurso de varios meses, se han conocido campañas de spam ocultando enlaces de instalación al software de escritorio remoto en el interior de los archivos PDF para evitar las defensas de correo electrónico y malware. Se cree que la campaña estaba en curso desde noviembre de 2024, principalmente dirigidas a entidades en Francia, Luxemburgo, Bélgica y Alemania.
“Estos PDF a menudo están disfrazados de parecer facturas, contratos o listados de propiedades para mejorar la credibilidad y atraer a las víctimas a hacer clic en el enlace integrado”, dijo WithSegure. “Este diseño estaba destinado a crear la ilusión de contenido razonable que se ha oscurecido, lo que llevó a la víctima a instalar un software. En este caso, el software fue FleetDeck RMM”.
Otras herramientas de monitoreo y dirección remota (RMM) implementadas como parte del clúster de actividad incluyen Action1, Optitune, Bluetrait, Syncro, SuperOps, Atera y Screenconnect.
“Aunque no se han observado cargas efectos posteriores a la infección, el uso de herramientas RMM sugiere fuertemente su papel como vector de entrada auténtico, lo que potencialmente permite una veterano actividad maliciosa”, agregó la compañía finlandesa. “Los operadores de ransomware en particular han favorecido este enfoque”.
