Las estafas que comprometen el email corporativo adquieren una nueva dimensión con ataques multifase
Un nuevo grupo de ataque aprovecha las relaciones de confianza entre organizaciones asociadas para eludir la autenticación multifactor.
En una campaña que capitaliza las relaciones entre distintas organizaciones, los atacantes consiguieron encadenar ataques de correo electrónico empresarial (BEC) contra cuatro o más organizaciones saltando de una organización vulnerada a la siguiente aprovechando las relaciones entre ellas. El ataque, que los investigadores de Microsoft denominan phishing multifase de adversario en el medio (AiTM, por sus siglas en inglés), comenzó con un ataque a un proveedor de confianza y se dirigió a organizaciones de los sectores bancario y de servicios financieros.
"Este ataque muestra la complejidad de las amenazas AiTM y BEC, que abusan de las relaciones de confianza entre vendedores, proveedores y otras organizaciones asociadas con la intención de cometer fraude financiero", señalan los investigadores de Microsoft.
Phishing con proxies indirectos
El phishing AiTM es una técnica ya habitual para eludir los mecanismos de autenticación multifactor que se basan en códigos de un solo uso que los usuarios introducen manualmente durante las sesiones de inicio de sesión, independientemente de cómo se reciban: por correo electrónico, SMS o generados por una aplicación telefónica. La forma más común de realizar AiTM es utilizar un proxy inverso, en el que la víctima se conecta a un dominio y un sitio web controlados por el atacante que se limita a enviar por proxy todo el contenido y las solicitudes posteriores de la página de inicio de sesión real del servicio atacado.
En una implementación de phishing de este tipo, para la que ya existen kits de herramientas de código abierto, los atacantes consiguen una función de supervisión pasiva del tráfico entre la víctima y el servicio en el que se están autenticando. El objetivo es capturar la cookie de sesión que devuelve el servicio una vez completada la autenticación y utilizarla para acceder directamente a la cuenta de la víctima. Sin embargo, esto también tiene desventajas para los atacantes si existen políticas adicionales que capturan y verifican otros aspectos de la máquina de la víctima, porque un inicio de sesión posterior de un atacante podría activar una alerta de seguridad y marcar la sesión como sospechosa.
En el nuevo ataque observado por Microsoft, los atacantes, que la empresa rastrea bajo el apodo temporal Storm-1167, utilizaron un conjunto de herramientas de phishing personalizado desarrollado por ellos mismos y que utiliza un método de proxy indirecto. Esto significa que la página de phishing creada por los atacantes no sirve ningún contenido de la página de inicio de sesión real, sino que la imita como una página independiente totalmente bajo el control de los atacantes.
Cuando la víctima interactúa con la página de phishing, los atacantes activan un inicio de sesión con el sitio web real utilizando las credenciales proporcionadas por la víctima y, a continuación, solicitan el código MFA a la víctima mediante una solicitud falsa. Si se proporciona el código, los atacantes lo utilizan para su propio inicio de sesión y reciben directamente la cookie de sesión. A continuación, la víctima es redirigida a una página falsa. Esto está más en línea con los ataques de phishing tradicionales.
"En este ataque AiTM con método de proxy indirecto, dado que el sitio web de phishing está configurado por los atacantes, éstos tienen más control para modificar el contenido mostrado según el escenario", afirman los investigadores de Microsoft. "Además, como la infraestructura de phishing está controlada por los atacantes, tienen la flexibilidad de crear múltiples servidores para evadir las detecciones". A diferencia de los ataques AiTM típicos, no hay paquetes HTTP proxy entre el objetivo y el sitio web real".
Estableciendo un acceso persistente al email y lanzando ataques BEC
Una vez conectados a la cuenta de la víctima, los atacantes fueron vistos generando un nuevo código de acceso para darles un mayor tiempo de acceso y luego procedieron a añadir un nuevo método de autenticación MFA a la cuenta, uno que utilizaba un servicio de SMS con un número iraní. A continuación, crearon una regla de filtrado de la bandeja de entrada de correo electrónico que movía todos los mensajes entrantes a la carpeta Archivo y los marcaba como leídos.
El ataque comenzó con una campaña de phishing contra el empleado de una empresa que actuaba como proveedor de confianza de varias organizaciones. Los atacantes utilizaron una URL que apuntaba a Canva.com, una plataforma gratuita de diseño gráfico en línea para crear presentaciones visuales, carteles y otros gráficos. La URL apuntaba a una página creada por los atacantes en Canva que imitaba la vista previa de un documento de OneDrive. Si se hacía clic en esta imagen, los usuarios accedían a una página falsa de inicio de sesión de Microsoft para autenticarse.
Después de comprometer una cuenta de correo electrónico en el proveedor, los atacantes extrajeron direcciones de correo electrónico de los hilos de mensajes existentes y enviaron alrededor de 16.000 emails modificados maliciosamente con URL de Canva. "A continuación, el atacante supervisó el buzón del usuario víctima en busca de correos electrónicos no entregados y fuera de la oficina y los eliminó de la carpeta Archivo", dijeron los investigadores de Microsoft. "El atacante leyó los correos electrónicos de los destinatarios que plantearon dudas sobre la autenticidad del correo electrónico de phishing y respondió, posiblemente para confirmar falsamente que el correo electrónico es legítimo. A continuación, los correos electrónicos y las respuestas se eliminaron del buzón".
Los destinatarios de los correos electrónicos de phishing del proveedor fueron dirigidos de forma similar a una página de phishing de AiTM y la cadena de ataque continuó. Una víctima de la segunda campaña de phishing de una organización diferente vio su correo electrónico comprometido y utilizado para lanzar emails de phishing adicionales a organizaciones asociadas. Las cuentas de las víctimas posteriores sufrieron un abuso similar.
Al igual que ocurre con los ataques a la cadena de suministro de software, este tipo de combinación de phishing AiTM y BEC multifase puede experimentar un crecimiento exponencial y llegar muy arriba en la cadena de confianza. Según un nuevo informe del Internet Crime Complaint Center (IC3) del FBI del 9 de junio, las pérdidas por estafas BEC aumentaron un 17% entre diciembre de 2021 y diciembre de 2022. El objetivo de los ataques BEC suele ser engañar a los destinatarios para que inicien transferencias bancarias fraudulentas, compartan información personal y financiera privada o transfieran criptomonedas. El IC3 ha registrado 277.918 incidentes BEC en los últimos 10 años a nivel internacional con una pérdida de más de 50.000 millones de dólares.
"El uso del proxy indirecto por parte de este ataque AiTM es un ejemplo de la creciente complejidad y evolución de las TTP de esta amenaza para evadir e incluso desafiar las soluciones convencionales y las mejores prácticas", afirman los investigadores de Microsoft. "La búsqueda proactiva de amenazas y la respuesta rápida a las mismas se convierten así en un aspecto aún más importante en la protección de las redes de las organizaciones, ya que proporciona una capa añadida a otras medidas de seguridad y puede ayudar a abordar las áreas de evasión de las defensas".
Algunas soluciones de mitigación incluyen el uso de métodos MFA que no pueden ser interceptados con técnicas AiTM, como los que utilizan claves FIDO 2 y autenticación basada en certificados. Las organizaciones también pueden implementar políticas de acceso condicional que evalúen las solicitudes de inicio de sesión utilizando señales adicionales de identidad del usuario o del dispositivo, como la ubicación IP o el estado del dispositivo. Microsoft también recomienda implantar una evaluación continua del acceso.
