top of page
Foto del escritorCyberpeace Tech

Se identifica nueva campaña de ataque AiTM que piratea cuentas de Microsoft 365

Se descubrió una nueva campaña de compromiso de correo electrónico comercial (BEC) que combina sofisticados ataques de phishing con tácticas Adversary-in-The-Middle (AiTM) para piratear las cuentas de Microsoft 365 de los ejecutivos corporativos, incluso aquellas protegidas por MFA.


Computadora con microsoft 365

Al acceder a las cuentas de empleados de alto rango, como directores ejecutivos o directores financieros de grandes organizaciones, los atacantes pueden monitorear las comunicaciones y responder a los correos electrónicos en el momento adecuado para desviar una gran transacción a sus cuentas bancarias.


Esto es típico de los ataques de compromiso de correo electrónico empresarial en los que los actores de la amenaza envían un correo electrónico desde la cuenta comprometida en el último momento, solicitando al miembro que autoriza la transacción que cambie el destino de la cuenta bancaria.


Los investigadores de #Mitiga descubrieron la nueva campaña durante un caso de respuesta a incidentes e informan que ahora está muy extendida, apuntando a transacciones de hasta varios millones de dólares cada una.


Los correos electrónicos de phishing enviados en estos ataques le dicen al objetivo que la cuenta bancaria corporativa a la que generalmente envían pagos ha sido congelada debido a una auditoría financiera, adjuntando nuevas instrucciones de pago que cambian a la cuenta de una supuesta subsidiaria. Sin embargo, esta nueva cuenta bancaria es propiedad de los actores de amenazas que roban el pago.

Para engañar a los destinatarios, el atacante secuestra hilos de correo electrónico y utiliza dominios de typosquatting que rápidamente pasan como auténticos a los representantes legales de CCed que la víctima conoce, involucrándolos en el intercambio.


Secuestro de subprocesos y direcciones de correo electrónico falsificadas (no nombres reales) (Mitiga)

Del compromiso a la persistencia de MFA


El ataque a los ejecutivos de la empresa comienza con un correo electrónico de phishing que parece provenir de DocuSign, una plataforma de gestión de acuerdos electrónicos utilizada ampliamente en entornos corporativos.


Si bien el correo electrónico no pasa las comprobaciones de DMARC, Mitiga descubrió que las configuraciones erróneas de seguridad comunes aplicadas para reducir las alertas de spam falsas positivas de DocuSign ayudan a que llegue a la bandeja de entrada del objetivo.


Mensajes de phishing enviados a ejecutivos específicos (Mitiga)

Cuando se hace clic en el botón "Revisar documento", se lleva a la víctima a una página de phishing en un dominio falsificado donde se le pide al destinatario que inicie sesión en el dominio de Windows.


Se cree que los actores de la amenaza están utilizando un marco de phishing, como el proxy evilginx2, para llevar a cabo lo que se denomina un ataque de adversario en el medio (AiTM).


Durante los ataques de AiTM, herramientas como evilginx2 actúan como proxies que se encuentran en el medio entre una página de phishing y un formulario de inicio de sesión legítimo para una empresa objetivo.


Como el proxy se encuentra en el medio, cuando una víctima ingresa sus credenciales y resuelve la pregunta de MFA, el proxy roba la cookie de sesión generada por el dominio de Windows.


Los actores de amenazas ahora pueden cargar las cookies de sesión robadas en sus propios navegadores para iniciar sesión automáticamente en la cuenta de la víctima y eludir MFA, que se había verificado en el inicio de sesión anterior.


Los atacantes agregan el teléfono como un nuevo dispositivo MFA (Mitiga)

Debido a que las sesiones válidas pueden caducar o revocarse, los actores de amenazas agregan un nuevo dispositivo MFA y lo vinculan a la cuenta de Microsoft 365 violada, un movimiento que no genera alertas ni requiere una mayor interacción con el propietario de la cuenta original.


En el caso visto por Mitiga, el actor de amenazas agregó un teléfono móvil como el nuevo dispositivo de autenticación, asegurando su acceso ininterrumpido a la cuenta comprometida.


Según los investigadores, los actores de amenazas aprovecharon esta brecha sigilosa para acceder a Exchange y SharePoint casi exclusivamente. Según los registros, no tomaron ninguna medida en la bandeja de entrada de la víctima, presumiblemente solo leyeron los correos electrónicos.


Sin embargo, el actor de amenazas probablemente estaba esperando el momento adecuado para inyectar sus propios correos electrónicos para desviar los pagos de facturas a cuentas bancarias bajo el control de los atacantes.


Los administradores de Windows pueden monitorear los cambios de MFA en las cuentas de usuario a través de los registros de auditoría de Azure Active Directory.




Referencias y Créditos:
0 comentarios

Entradas recientes

Ver todo

Comments


bottom of page