- Los atacantes pueden eludir MFA en Microsoft Office 365 robando códigos de autorización o tokens de acceso.
- El equipo de inteligencia de amenazas de Microsoft ha rastreado una campaña de malware que afecta a organizaciones en Australia y el sudeste asiático.
- Los piratas informáticos están creando nuevos métodos de ataques de phishing mediante el registro de dispositivos Windows con Azure Active Directory mediante el uso de credenciales de Office 365 robadas.
Los piratas informáticos están intentando un nuevo método de ampliar el alcance de sus campañas de phishing mediante el uso de credenciales de Office 365 robadas para registrar dispositivos Windows con Azure Active Directory.
Si los atacantes pueden acceder a una organización, lanzarán una segunda ola de la campaña, que consiste en enviar más correos electrónicos de phishing a objetivos tanto fuera como dentro de la organización.
Áreas objetivo
El equipo de inteligencia de amenazas de Microsoft 365 ha estado rastreando una campaña de malware dirigida a organizaciones en Australia y el sudeste asiático.
Para obtener la información de sus objetivos, los atacantes enviaron correos electrónicos de phishing que parecían ser de DocuSign. Cuando los usuarios hicieron clic en el Revisar documento botón, fueron llevados a una página de inicio de sesión falsa para Office 365, ya completada con sus nombres de usuario
“Las credenciales robadas de la víctima se usaron de inmediato para establecer una conexión con Exchange Online PowerShell, muy probablemente usando un script automatizado como parte de un kit de phishing. Aprovechando la conexión remota de PowerShell, el atacante implementó una regla de bandeja de entrada a través del cmdlet New-InboxRule que eliminó ciertos mensajes en función de las palabras clave en el asunto o el cuerpo del mensaje de correo electrónico”, el equipo de inteligencia resaltado.
El filtro elimina automáticamente los mensajes que contienen ciertas palabras relacionadas con spam, phishing, basura, piratería y seguridad de contraseñas, por lo que el usuario legítimo de la cuenta no recibirá informes de no entrega ni correos electrónicos de notificación de TI que de otro modo podrían haber visto.
Luego, los atacantes instalaron Microsoft Outlook en su propia máquina y la conectaron a la víctima. Azure Active Directory de la organización, posiblemente aceptando el aviso para registrar Outlook cuando se lanzado.
Finalmente, una vez que la máquina pasó a formar parte del dominio y el cliente de correo fue configurado como cualquier otro uso habitual dentro de las organizaciones, los correos electrónicos de phishing de la cuenta comprometida, las invitaciones falsas de Sharepoint que apuntaban nuevamente a una página de inicio de sesión falsa de Office 365 se volvieron más persuasivo.
“Las víctimas que ingresaron sus credenciales en el sitio de phishing de segunda etapa se conectaron de manera similar con Exchange Online PowerShell, y casi de inmediato se creó una regla para eliminar correos electrónicos en sus respectivos bandejas de entrada La regla tenía características idénticas a la creada durante la primera etapa del ataque de la campaña”, indicó el equipo.
como pasar por alto
Los atacantes se basaron en credenciales robadas; sin embargo, varios usuarios tenían habilitada la autenticación multifactor (MFA), lo que evitaba que ocurriera el robo.
Las organizaciones deben habilitar la autenticación multifactor para todos los usuarios y exigirla al unirse dispositivos a Azure AD, además de considerar deshabilitar Exchange Online PowerShell para los usuarios finales, el equipo aconsejado.
Microsoft también compartió consultas de búsqueda de amenazas para ayudar a las organizaciones a verificar si sus usuarios se han visto comprometidos a través de esta campaña y aconsejó que los defensores también deben revocar sesiones activas y tokens asociados con cuentas comprometidas, eliminar reglas de buzón creadas por los atacantes y deshabilitar y eliminar dispositivos maliciosos unidos a la Azure AD.
“La mejora continua de la visibilidad y las protecciones en los dispositivos administrados ha obligado a los atacantes a explorar vías alternativas. Si bien en este caso el registro de dispositivos se usó para más ataques de phishing, el aprovechamiento del registro de dispositivos va en aumento a medida que se han observado otros casos de uso. Además, la disponibilidad inmediata de herramientas de prueba de penetración, diseñadas para facilitar esta técnica, solo expandirá su uso entre otros actores en el futuro”, aconsejó el equipo.
Lagunas a tener en cuenta
Los analistas de inteligencia de amenazas de Microsoft señalaron recientemente una campaña de phishing dirigida a cientos de negocios, este es un intento de engañar a los empleados para que otorguen una aplicación llamada "Actualizar" acceso a su Office 365 cuentas
“Los mensajes de phishing engañan a los usuarios para que otorguen permisos a la aplicación que podrían permitir a los atacantes crear reglas en la bandeja de entrada, leer y escribir correos electrónicos y elementos del calendario, y leer contactos. Microsoft ha desactivado la aplicación en Azure AD y ha notificado a los clientes afectados”, indicaron.
Los atacantes también pueden eludir la autenticación multifactor de Office 365 mediante el uso de aplicaciones no autorizadas, el robo de códigos de autorización o la obtención de tokens de acceso en lugar de sus credenciales.
¿Ha sido víctima de estos ataques de piratas informáticos antes? Comparta su experiencia con nosotros en la sección de comentarios a continuación.
