Los investigadores de Microsoft han descubierto una campaña masiva de phishing que puede robar credenciales incluso si un usuario tiene habilitada la autenticación multifactor (MFA) y hasta ahora ha intentado comprometer a más de 10,000 organizaciones.
La campaña, que ha estado activa desde septiembre de 2021, depende del uso de sitios de phishing adversary-in-the-middle (AiTM) en los ataques iniciales para secuestrar cookies de sesión y robar credenciales. Desde allí, los atacantes pueden acceder a los buzones de correo de los usuarios de las víctimas para lanzar más ataques contra otros objetivos, escribió el equipo de investigación de Microsoft 365 Defender del Centro de inteligencia de amenazas de Microsoft (MTIC) en una publicación de blog publicada el martes.
En los ataques AiTM, un actor de amenazas despliega un servidor proxy entre un usuario objetivo y el sitio web que el usuario desea visitar, es decir, el sitio que el atacante desea suplantar, explicaron los investigadores.
"Tal configuración permite al atacante robar e interceptar la contraseña del objetivo y la cookie de sesión que prueba su sesión continua y autenticada con el sitio web", escribieron.
Es importante señalar que este tipo de ataque no denota una vulnerabilidad en el tipo de MFA empleado por un sistema de correo electrónico corporativo, agregaron. El phishing AiTM roba la cookie de sesión, por lo que el atacante se autentica en una sesión en nombre del usuario, independientemente del método de inicio de sesión que utilice este último, dijeron los investigadores.
De hecho, los atacantes se están volviendo conscientes del creciente uso de MFA por parte de las organizaciones para proteger mejor las cuentas de usuario y crear ataques de phishing más sofisticados como estos que pueden evitarlo, señaló un profesional de seguridad.
"Si bien MFA es ciertamente valioso y debe usarse cuando sea posible, al capturar la contraseña y la cookie de sesión, y debido a que la cookie de sesión muestra que MFA ya se usó para iniciar sesión, los atacantes a menudo pueden eludir la necesidad de MFA cuando inician sesión en la cuenta nuevamente más tarde usando la contraseña robada", observó Erich Kron, defensor de la conciencia de seguridad en la firma de capacitación en conciencia de seguridad KnowBe4. en un correo electrónico a Threatpost.
AiTM Phishing, desempaquetado
En su observación de la campaña, los investigadores de Microsoft profundizaron en cómo funcionan estos tipos de ataques y cómo se pueden usar para montar ataques secundarios de compromiso de correo electrónico empresarial (BEC) una vez que se obtiene el acceso inicial a la cuenta de alguien, dijeron.
Los ataques de phishing de AiTM dependen de la sesión que cada servicio web moderno implementa con un usuario después de una autenticación exitosa para que el usuario no tenga que autenticarse en cada nueva página que visite, explicaron los investigadores.
"Esta funcionalidad de sesión se implementa a través de una cookie de sesión proporcionada por un servicio de autenticación después de la autenticación inicial", escribieron. "La cookie de sesión es una prueba para el servidor web de que el usuario se ha autenticado y tiene una sesión continua en el sitio web".
En el phishing AiTM, un atacante intenta robar la cookie de sesión de un usuario objetivo para que pueda omitir todo el proceso de autenticación y actuar como si fuera el usuario autenticado legítimo, dijeron los investigadores.
"Para hacer esto, el atacante despliega un servidor web que envía paquetes HTTP del usuario que visita el sitio de phishing al servidor objetivo que el atacante desea suplantar y al revés", escribieron. "De esta manera, el sitio de phishing es visualmente idéntico al sitio web original (ya que cada HTTP se envía desde y hacia el sitio web original)".
Este ataque es especialmente conveniente para los actores de amenazas porque excluye la necesidad de que creen sus propios sitios de phishing, como los utilizados en las campañas de phishing convencionales, señalaron los investigadores.
Vector de ataque específico
En la campaña de phishing observada por los investigadores de Microsoft, los atacantes inician el contacto con víctimas potenciales enviando correos electrónicos con un archivo HTML adjunto a múltiples destinatarios en diferentes organizaciones. Los mensajes afirman que los destinatarios tienen un mensaje de correo de voz y deben hacer clic en el archivo adjunto para acceder a él o se eliminará en 24 horas.
Si un usuario hace clic en el enlace, es redirigido a un sitio que le indica que será redirigido nuevamente a su buzón con el audio en una hora. Mientras tanto, se les pide que inicien sesión con sus credenciales.
En este punto, sin embargo, el ataque hace algo único utilizando una codificación inteligente al completar automáticamente la página de destino de phishing con la dirección de correo electrónico del usuario, "mejorando así su atractivo de ingeniería social", señalaron los investigadores.
Si un destino escribe sus credenciales y se autentica, se le redirige a la página legítima de Microsoft office.com. Sin embargo, en segundo plano, el atacante intercepta las credenciales y se autentica en nombre del usuario, proporcionando rienda suelta para realizar actividades de seguimiento, dijeron los investigadores.
En la cadena de correo electrónico de phishing que observaron los investigadores, el actor de amenazas utilizó la autenticación para cometer fraude de pago en ataques secundarios desde dentro de la organización, dijeron los investigadores.
Seguimiento de BEC y fraude de pago
Los atacantes tardaron menos de cinco minutos después de secuestrar sesiones y robar credenciales para comenzar el proceso de realizar fraude de pago al autenticarse en Outlook para acceder a correos electrónicos relacionados con finanzas y archivos adjuntos, dijeron los investigadores. Al día siguiente, accedieron a estos correos electrónicos y archivos cada pocas horas para buscar oportunidades para cometer fraude.
El actor de amenazas también eliminó de la carpeta de entrada de la cuenta comprometida el correo electrónico de phishing original que enviaron para ocultar rastros de su acceso inicial, agregaron los investigadores.
"Estas actividades sugieren que el atacante intentó cometer fraude de pago manualmente", escribieron.
Los atacantes también usaron Outlook Web Access (OWA) en un navegador Chrome para cometer fraude de pago mientras usaban la cookie de sesión robada de la cuenta comprometida, agregaron los investigadores.
Evento bajo demanda GRATUITO: Únase a Zane Bond de Keeper Security en una mesa redonda de Threatpost y aprenda cómo acceder de forma segura a sus máquinas desde cualquier lugar y compartir documentos confidenciales desde su oficina en casa. MIRA AQUÍ.