Una campaña de phishing en curso puede piratearlo incluso cuando está protegido por MFA
Una campaña de phishing en curso puede piratearlo incluso cuando está protegido por MFA
Expandir
imágenes falsas
El martes, Microsoft detalló una campaña de phishing a gran escala en curso que puede secuestrar cuentas de usuario cuando están protegidas por medidas de autenticación de múltiples factores diseñadas para evitar tales adquisiciones. Los actores de la amenaza detrás de la operación, que se ha dirigido a 10,000 organizaciones desde septiembre, usaron su acceso secreto a las cuentas de correo electrónico de las víctimas para engañar a los empleados para que enviaran dinero a los piratas informáticos.
>
La autenticación multifactor, también conocida como autenticación de dos factores, MFA o 2FA, es el estándar de oro en seguridad de cuentas. Requiere que el usuario de la cuenta demuestre su identidad en la forma de algo que posee o controla (una clave de seguridad física, una huella digital o un escaneo de rostro o retina) además de algo que conoce (su contraseña). Dado que el uso cada vez mayor de la autenticación multifactor ha obstaculizado las campañas de apropiación de cuentas, los atacantes han encontrado formas de contraatacar.
El oponente en el medio
Microsoft observó una campaña que insertaba un sitio proxy controlado por un atacante entre los usuarios de la cuenta y el servidor de trabajo al que intentaban conectarse. Cuando el usuario ingresó una contraseña en el sitio proxy, el sitio proxy la envió al servidor real y luego transmitió la respuesta del servidor real al usuario. Una vez que se completa la autenticación, el actor de amenazas ha robado la cookie de sesión enviada por el sitio legítimo, por lo que el usuario no necesita volver a autenticarse en cada nueva página visitada. La campaña comenzó con un correo electrónico de phishing con un archivo adjunto HTML que conducía al servidor proxy.
Agrandar / El sitio web de phishing intercepta el proceso de autenticación.
"Según nuestras observaciones, después de que una cuenta comprometida iniciara sesión en el sitio de phishing por primera vez, el atacante usó la cookie de sesión robada para autenticarse con Outlook Online (outlook.office.com)", miembros de el Equipo de investigación de Microsoft 365 Defender y el Centro de inteligencia de amenazas de Microsoft en una publicación de blog. "En varios casos, las cookies tenían un reclamo de MFA, lo que significa que aunque la organización tenía una política de MFA, el atacante usó la cookie de sesión para obtener acceso al nombre de la cuenta comprometida".
En los días posteriores al robo de cookies, los actores de amenazas accedieron a las cuentas de correo electrónico de los empleados y buscaron mensajes para usar en estafas de compromiso de correo electrónico del trabajo, lo que provocó que los objetivos transfirieran grandes sumas de dinero a cuentas que creían que pertenecían a compañeros de trabajo o empresas. los socios. Los atacantes utilizaron estos hilos de chat y la identidad falsa del empleado pirateado para convencer a la otra parte de que hiciera un pago.
Para evitar que el empleado pirateado descubra el compromiso, los actores de amenazas crearon reglas de bandeja de entrada que automáticamente movían correos electrónicos específicos a una carpeta de archivo y los marcaban como leídos. Durante los días siguientes, el actor de amenazas inició sesión periódicamente para comprobar si había nuevos correos electrónicos.
"En una ocasión, el atacante realizó múltiples intentos de fraude simultáneamente desde el mismo buzón comprometido", escribieron los autores del blog. "Cada vez que el atacante encontraba un nuevo objetivo de fraude, actualizaba la regla de la bandeja de entrada que creó para incluir los dominios organizacionales de esos nuevos objetivos".
El martes, Microsoft detalló una campaña de phishing a gran escala en curso que puede secuestrar cuentas de usuario cuando están protegidas por medidas de autenticación de múltiples factores diseñadas para evitar tales adquisiciones. Los actores de la amenaza detrás de la operación, que se ha dirigido a 10,000 organizaciones desde septiembre, usaron su acceso secreto a las cuentas de correo electrónico de las víctimas para engañar a los empleados para que enviaran dinero a los piratas informáticos.
>
La autenticación multifactor, también conocida como autenticación de dos factores, MFA o 2FA, es el estándar de oro en seguridad de cuentas. Requiere que el usuario de la cuenta demuestre su identidad en la forma de algo que posee o controla (una clave de seguridad física, una huella digital o un escaneo de rostro o retina) además de algo que conoce (su contraseña). Dado que el uso cada vez mayor de la autenticación multifactor ha obstaculizado las campañas de apropiación de cuentas, los atacantes han encontrado formas de contraatacar.
El oponente en el medio
Microsoft observó una campaña que insertaba un sitio proxy controlado por un atacante entre los usuarios de la cuenta y el servidor de trabajo al que intentaban conectarse. Cuando el usuario ingresó una contraseña en el sitio proxy, el sitio proxy la envió al servidor real y luego transmitió la respuesta del servidor real al usuario. Una vez que se completa la autenticación, el actor de amenazas ha robado la cookie de sesión enviada por el sitio legítimo, por lo que el usuario no necesita volver a autenticarse en cada nueva página visitada. La campaña comenzó con un correo electrónico de phishing con un archivo adjunto HTML que conducía al servidor proxy.
Agrandar / El sitio web de phishing intercepta el proceso de autenticación.
"Según nuestras observaciones, después de que una cuenta comprometida iniciara sesión en el sitio de phishing por primera vez, el atacante usó la cookie de sesión robada para autenticarse con Outlook Online (outlook.office.com)", miembros de el Equipo de investigación de Microsoft 365 Defender y el Centro de inteligencia de amenazas de Microsoft en una publicación de blog. "En varios casos, las cookies tenían un reclamo de MFA, lo que significa que aunque la organización tenía una política de MFA, el atacante usó la cookie de sesión para obtener acceso al nombre de la cuenta comprometida".
En los días posteriores al robo de cookies, los actores de amenazas accedieron a las cuentas de correo electrónico de los empleados y buscaron mensajes para usar en estafas de compromiso de correo electrónico del trabajo, lo que provocó que los objetivos transfirieran grandes sumas de dinero a cuentas que creían que pertenecían a compañeros de trabajo o empresas. los socios. Los atacantes utilizaron estos hilos de chat y la identidad falsa del empleado pirateado para convencer a la otra parte de que hiciera un pago.
Para evitar que el empleado pirateado descubra el compromiso, los actores de amenazas crearon reglas de bandeja de entrada que automáticamente movían correos electrónicos específicos a una carpeta de archivo y los marcaban como leídos. Durante los días siguientes, el actor de amenazas inició sesión periódicamente para comprobar si había nuevos correos electrónicos.
"En una ocasión, el atacante realizó múltiples intentos de fraude simultáneamente desde el mismo buzón comprometido", escribieron los autores del blog. "Cada vez que el atacante encontraba un nuevo objetivo de fraude, actualizaba la regla de la bandeja de entrada que creó para incluir los dominios organizacionales de esos nuevos objetivos".
Expandir
imágenes falsas
Agrandar / El sitio web de phishing intercepta el proceso de autenticación.
