Microsoft anunció que una serie masiva de ataques de phishing se ha dirigido a más de 10,000 organizaciones a partir de septiembre de 2021, utilizando el acceso obtenido a los buzones de correo de las víctimas en ataques posteriores de compromiso de correo electrónico comercial (BEC).
Los actores de la amenaza utilizaron páginas de destino diseñadas para secuestrar el proceso de autenticación de Office 365 (incluso en cuentas protegidas por autenticación multifactor (MFA) mediante la falsificación de la página de autenticación en línea de Office.
En algunos de los ataques observados, las víctimas potenciales fueron redirigidas a las páginas de destino desde correos electrónicos de phishing que usaban archivos adjuntos HTML que actuaban como guardianes para garantizar que los objetivos se enviaran a través de los redireccionadores HTML.
Después de robar las credenciales de los objetivos y sus cookies de sesión, los actores de amenazas detrás de estos ataques iniciaron sesión en las cuentas de correo electrónico de las víctimas. Posteriormente, utilizaron su acceso en campañas de compromiso de correo electrónico comercial (BRC) dirigidas a otras organizaciones.
"Una campaña de phishing a gran escala que utilizó sitios de phishing de adversarios en el medio (AiTM) robó contraseñas, secuestró la sesión de inicio de sesión de un usuario y omitió el proceso de autenticación incluso si el usuario había habilitado la autenticación multifactor (MFA)". dijo el Equipo de investigación de Microsoft 365 Defender y el Centro de inteligencia de amenazas de Microsoft (MSTIC).
"Los atacantes luego usaron las credenciales robadas y las cookies de sesión para acceder a los buzones de correo de los usuarios afectados y realizar campañas de compromiso de correo electrónico comercial (BEC) de seguimiento contra otros objetivos".
El proceso de phishing empleado en esta campaña de phishing a gran escala se puede automatizar con la ayuda de varios conjuntos de herramientas de phishing de código abierto, incluidos Evilginx2, Modlishka y Muraena, ampliamente utilizados.
Los sitios de phishing utilizados en esta campaña funcionaron como servidores proxy inversos y se alojaron en servidores web diseñados para transmitir las solicitudes de autenticación de los objetivos al sitio web legítimo en el que intentaban iniciar sesión a través de dos sesiones separadas de Seguridad de la capa de transporte (TLS).
Con esta táctica, la página de phishing de los atacantes actuó como un intermediario que intercepta el proceso de autenticación para extraer información confidencial de las solicitudes HTTP secuestradas, incluidas las contraseñas y, lo que es más importante, las cookies de sesión.
Después de que los atacantes tuvieran en sus manos la cookie de sesión de los objetivos, la inyectaron en su propio navegador web, lo que les permitió omitir el proceso de autenticación, incluso si las víctimas tenían MFA habilitado en las cuentas comprometidas.
Referencias y Créditos:
Gatlan, S. (2022, 12 julio). Microsoft: Phishing bypassed MFA in attacks against 10,000 orgs. BleepingComputer. Recuperado 12 de julio de 2022, de https://www.bleepingcomputer.com/news/security/microsoft-phishing-bypassed-mfa-in-attacks-against-10-000-orgs/
Comentários