Una campaña de 'phishing' en Office 365 ha amenazado a 10.000 empresas en todo el mundo
El ataque es capaz de eludir los métodos de autenticación multifactor utilizando técnicas de proxy HTTPS.
Los investigadores de seguridad de Microsoft han descubierto una campaña de phishing a gran escala que utiliza técnicas de proxy HTTPS para secuestrar cuentas de Office 365. El ataque es capaz de eludir los métodos de autenticación multifactor y ya se ha dirigido a más de 10.000 organizaciones en todo el mundo desde septiembre de 2021.
El objetivo de la campaña parece ser el compromiso del correo electrónico (BEC, de sus siglas inglesas), un tipo de amenaza en el que los correos de los empleados se usan para engañar a otros trabajadores, ya sean de la misma empresa o socios externos, para iniciar transferencias de dinero fraudulentas. Según el Centro de Quejas de Delitos de Internet del FBI, los ataques BEC han generado pérdidas por más de 43.000 millones de dólares entre junio de 2016 y diciembre de 2021 en los Estados Unidos.
Los incidentes observados por Microsoft comenzaron cuando las víctimas recibieron correos no autorizados que contenían adjuntos HTML maliciosos. Algunos se hicieron pasar por notificaciones de voz y dirigieron a los usuarios a abrir documentos que redirigían a páginas que simulaban el progreso de una descarga, pero que luego volvía a una página de inicio de sesión falsa de Office 365.
Si bien esto parece un típico ataque de phishing, la implementación de backend es lo que lo hace diferente. Primero, la dirección de correo electrónico del usuario está codificada en la URL de la página de redireccionamiento y se usa para completar previamente el campo de inicio de sesión en las páginas de phishing. En segundo lugar, las propias páginas de phishing actúan como un proxy y obtienen su contenido en tiempo real desde la página de inicio de sesión legítima de Office 365.
Las páginas de phishing estaban alojadas en nombres de dominio habilitadas para HTTPS, algunos de los cuales tenían nombes que se hacían pasar por servicios de Microsoft. Esencialmente, el navegador de la víctima estableció una conexión TLS con ellos y la página estableció una conexión con el sitio de inicio de sesión real. Debido a que la dirección de correo electrónico se completaba automáticamente, los atacantes pudieron mostrar las páginas de inicio de sesión de Office 365 con la marca personalizada que las víctimas estaban acostumbradas a ver para sus propias organizaciones, lo que hizo que la incidencia fuera más creíble.
Dado que la página de phishing actuó como un proxy´, reenvió las credenciales ingresadas para el usuario al sitio legítimo de Office 365 y luego mostró en tiempo real el aviso MFA solicitado por el sitio web. El objetivo era completar el proceso en tiempo real y capturar la cookie de sesión del usuario.
Vale la pena señalar que no todos los tipos de MFA pueden eludirse mediante técnicas AiTM. Las soluciones que cumplen con el estándar FIDO 2 y se basan en un llavero conectado a la computadora o un sensor de huellas dactilares en un dispositivo móvil no pueden ser proxy de esta manera. Incluso si las soluciones basadas en código o en SMS son vulnerables, usar cualquier forma de MFA siempre es mejor que no usarla, ya que hay una variedad de ataques menos sofisticados que se bloquearán, como el relleno de credenciales y otras formas de robo de contraseñas.
Microsoft también recomienda habilitar políticas de acceso condicional que verifiquen dispositivos compatibles o direcciones IP confiables antes de completar la autenticación, así como monitorear continuamente los inicios de sesión sospechosos desde ubicaciones inusuales, ISP o con agentes de usuario no estándar.
