Los actores de amenazas están utilizando formularios de inicio de sesión falsos para engañar a los usuarios para que cambien sus detalles de pago. Los usuarios empresariales de Microsoft 365 son el objetivo de una nueva estafa de phishing de DocuSign.
Una nueva campaña de compromiso de correo electrónico comercial (BEC, por sus siglas en inglés) se ha dirigido a las organizaciones de Microsoft 365. Esto es un intento por piratear las cuentas de los ejecutivos corporativos y desviar los pagos comerciales de manera maliciosa.
Los investigadores de la firma de seguridad cibernética Mitiga descubrieron que los piratas informáticos están aprovechando las debilidades inherentes a la autenticación multifactor de 365. También de Microsoft Authenticator y Microsoft 365 Identity Protection.
Los usuarios empresariales de Microsoft 365 son el objetivo de una nueva estafa de phishing de DocuSign
Los ataques combinan tácticas de spear-phishing con métodos man-in-the-middle para comprometer las cuentas de correo electrónico. Los atacantes esencialmente secuestran transacciones comerciales enviando un correo electrónico desde la cuenta a su destinatario con una solicitud para cambiar la cuenta bancaria receptora. Esto es lo que señala la investigación de Mitiga.
Estos correos electrónicos engañan al destinatario para que crea que la cuenta de pago habitual ha sido congelada. Después lo convencen de usar cuentas alternativas que pertenecen al autor de la amenaza. El atacante también secuestrará cadenas de correo electrónico con dominios de ‘typosquatting’ falsificados que parecen genuinos a primera vista debido a cambios sigilosos de caracteres.
Los investigadores de Mitiga descubrieron la campaña cuando investigaban un ataque fallido, lo que indicaba que el atacante tenía acceso a información confidencial que solo podía obtenerse comprometiendo la cuenta de un usuario.
Página de inicio de sesión de DocuSign falsificada
Como parte de su investigación, la firma descubrió acceso no autorizado a la cuenta 365 de un ejecutivo desde múltiples ubicaciones, incluidas Singapur, Dubai y San José, California.
El compromiso aprovechó una técnica de phishing man-in-the-middle para el acceso inicial a la cuenta y al buzón. El correo electrónico inicial se creó para imitar una solicitud de DocuSign. Imitaba con precisión el diseño de la popular plataforma de gestión de acuerdos comerciales electrónicos con una dirección falsificada.
Aunque eso no pasa las verificaciones de DMARC, una mala configuración en el entorno del cliente utilizado para minimizar las alertas de spam de DocuSign significó que el correo electrónico no se bloqueó y apareció como legítimo en la bandeja de entrada del correo electrónico del ejecutivo, dijo la firma.
Al hacer clic en «Revisar documento», se le habría pedido a la víctima que ingresara sus datos de inicio de sesión de Microsoft Azure en un dominio malicioso. Como parte de estas tácticas, el actor de amenazas utiliza un marco de phishing como el proxy evilginx2 que actúa como un agente intermedio entre la página de inicio de sesión falsificada y la real.
A medida que la víctima ingresa sus detalles, el atacante toma la cookie de sesión y la utiliza para asumir la sesión del usuario, sin necesidad de volver a ingresar una contraseña o aprobar una solicitud de MFA. A continuación, se dirige a la víctima a una página de error genérica de DocuSign.
Anulación de la autenticación multifactor
Sin embargo, lo que agravó aún más la infracción fue el hecho de que el atacante tenía la libertad de configurar una segunda aplicación de autenticación para el usuario sin su conocimiento. Esto esencialmente permite el acceso persistente a la cuenta después de que la sesión expira o se revoca.
“Esto les dio a los atacantes la persistencia total de la cuenta violada y anuló efectivamente el valor de MFA”, dijo Mitiga.
En el incidente investigado, la empresa de seguridad dijo que los atacantes accedieron a Exchange y SharePoint, pero que aún no habían elegido el momento para actuar desde la bandeja de entrada.
Al concluir sus hallazgos, Mitiga dijo que, aunque prevenir este tipo de ataques es difícil. Conocerlos y limitarlos debería ser relativamente sencillo al requerir un desafío de MFA para actividades relacionadas con la seguridad. Sin embargo, Microsoft actualmente no ofrece esto.