Cuentas de Microsoft están siendo atacadas con un nuevo y potente kit de phishing
Investigadores han detectado una nueva campaña de phishing a gran escala dirigida a las credenciales de los servicios de correo electrónico de Microsoft. Esta utiliza un kit de phishing personalizado basado en proxy para evadir la autenticación multifactor.
Los investigadores creen que el objetivo de la campaña es vulnerar cuentas corporativas para realizar ataques BEC (compromiso de correo electrónico comercial). Es decir, el objetivo es desviar pagos a cuentas bancarias bajo el control de los atacantes utilizando documentos falsificados.
Los objetivos de la campaña de phishing incluyen organizaciones de tecnología financiera, préstamos, contabilidad, seguros y cooperativas de ahorro y crédito federales en Estados Unidos, Reino Unido, Nueva Zelanda y Australia.
La campaña fue descubierta por los investigadores de ThreatLabz de Zscaler. Ellos informaron que la operación aún está en curso y que los actores de phishing registran nuevos dominios de phishing casi a diario.
Detalles de la campaña
A partir de junio de 2022, los analistas de Zscaler notaron un aumento en los intentos de phishing sofisticados contra sectores y usuarios específicos de los servicios de correo electrónico de Microsoft.
Algunos de los dominios recientemente registrados utilizados en la campaña son versiones con errores tipográficos de cooperativas de ahorro y crédito federales legítimas en los Estados Unidos. En la siguiente tabla puedes ver algunos ejemplos de estos dominios:
En particular, muchos correos electrónicos de phishing se originaron en las cuentas de los ejecutivos que trabajan en estas organizaciones. En otras palabras, los actores de amenazas probablemente comprometieron antes estas cuentas.
Otro conjunto de sitios de phishing usó nombres de dominio que se enfocan en usar señuelos de restablecimiento de contraseña como parte de sus campañas de correo electrónico:
- expirationrequest-mailaccess[.]com
- expirationrequest-passwordreminder[.]com
- emailaccess-passwordnotice[.]com
- emailaccess-expirynotification[.]com
Los ciberdelincuentes agregaron los enlaces a los correos electrónicos como botones incrustados en el cuerpo del mensaje o dentro de archivos HTML adjuntos. Estos desencadenan redireccionamientos a las páginas de phishing.
Las redirecciones ocurren a través de recursos web legítimos para ayudar a evadir el correo electrónico y las herramientas de seguridad de Internet. Además, los actores de amenazas muestran una preferencia por las redirecciones abiertas en Google Ads, Snapchat y DoubleClick. Lamentablemente, algunas plataformas no consideran los redireccionamientos abiertos como una vulnerabilidad, dejándolos disponibles para el abuso por parte de los actores de amenazas.
Otras herramientas
CodeSandbox y Glitch también se están utilizando ampliamente en esta campaña para ayudar a los hackers a crear nuevas rutas de redirección sin mucho esfuerzo.
“Un método común para alojar código de redirección es hacer uso de servicios de edición/alojamiento de código web. Específicamente, el atacante puede usar esos sitios, destinados al uso legítimo de los desarrolladores web, para crear rápidamente nuevas páginas de código, pegar en ellas un código de redirección con la última URL del sitio de phishing y proceder a enviar por correo el enlace al código de redirección alojado a las víctimas en masa”.
– Zscaler
Una vez que la víctima llega a la página de phishing, JavaScript le toma las huellas digitales, lo que evalúa si el objetivo está en una máquina virtual o en un dispositivo normal. Esto permite que la página de phishing solo se revele a objetivos válidos, en lugar de software de seguridad e investigadores que pueden estar usando máquinas virtuales para el análisis.
Omisión de MFA con kit de phishing personalizado
Dado que la empresa está adoptando rápidamente la autenticación multifactor (MFA), robar las credenciales de los usuarios no es suficiente para obtener acceso a una cuenta si MFA está habilitado. Para evadir MFA, los atacantes recurren a herramientas como Evilginx2, Muraena y Modilshka.
Usando estos proxies inversos, los adversarios pueden sentarse en el medio entre la víctima y el servidor del proveedor de correo electrónico, por lo que se les llama “AiTM” (adversario en el medio).
El servidor de correo electrónico solicita el código MFA durante el proceso de inicio de sesión, y el kit de phishing transmite esa solicitud a la víctima, quien luego ingresa la OTP en el cuadro de phishing. Los datos se reenvían al servicio de correo electrónico, lo que permite que el actor de amenazas inicie sesión en la cuenta robada.
Sin embargo, el proxy de phishing que se encuentra en medio de este intercambio puede robar las cookies de autenticación resultantes. Esto permite que los actores de amenazas usen estas cookies robadas para iniciar sesión y evitar MFA para la cuenta en particular.
Lo que hace que esta campaña se destaque es el uso de un kit de phishing personalizado basado en proxy. El kit tiene la peculiaridad de usar la herramienta de análisis de HTML y XML “Beautiful Soup”.
Automatización
Esta herramienta permite que el kit modifique fácilmente las páginas de inicio de sesión legítimas extraídas de los inicios de sesión corporativos y agregue sus propios elementos de phishing. La herramienta también tiene el beneficio adicional de embellecer el HTML en el proceso.
Sin embargo, el kit no es perfecto, ya que Zscaler encontró algunas filtraciones de URL en las solicitudes enviadas al servidor de Microsoft. En otras palabras, esto puede hacer posible la detección por parte del proveedor.
Zscaler configuró una instancia de prueba para permitir que el atacante accediera y monitorear su actividad posterior al compromiso. Como era de esperar, los investigadores observaron que los hackers iniciaron sesión en la cuenta ocho minutos después del compromiso.
Aparte de iniciar sesión en la cuenta y evaluar la cuenta y leer algunos de los mensajes, el atacante no realizó ninguna acción adicional.
Contramedidas
El compromiso del correo electrónico empresarial (BEC) sigue siendo una de las principales amenazas contra las que las organizaciones deben protegerse. Como hemos visto, los ciberdelincuentes actualizan constantemente sus tácticas, técnicas y procedimientos (TTP) para eludir varias medidas de seguridad.
Aunque las características de seguridad como la autenticación multifactor (MFA) agregan una capa adicional de seguridad. Sin embargo, no deben considerarse como una panacea para protegerse contra los ataques de phishing. Con el uso de kits de phishing avanzados y técnicas de evasión inteligentes, los atacantes pueden eludir tanto las soluciones de seguridad tradicionales como las avanzadas.
Como precaución adicional, los usuarios no deben abrir archivos adjuntos ni hacer clic en enlaces de correos electrónicos enviados desde fuentes no confiables o desconocidas. Como práctica recomendada, en general, los usuarios deben verificar la URL en la barra de direcciones del navegador antes de ingresar cualquier credencial.