Aumenta la complejidad de los ataques de phishing y compromiso de correo empresarial

Un informe de los Expertos en Microsoft Defender revela un nuevo adversario de múltiples etapas en un ataque de phishing combinado con un ataque de compromiso de correo electrónico empresarial dirigido a instituciones bancarias y financieras. El complejo ataque abusa de las relaciones de confianza entre proveedores, proveedores y otras organizaciones involucradas en transacciones financieras.

Aumenta la complejidad de los ataques de phishing y compromiso de correo empresarial - Seguridad | Imagen 1 Newsmatic

Ir a:

  • Etapa uno: Lanzamiento de un ataque de phishing de AiTM
  • Etapa dos: Modificación de la cuenta del usuario
  • Etapa tres: Inicio de la campaña BEC
  • Cómo mantenerse seguro frente a esta amenaza de ciberseguridad
Índice de Contenido
  1. Etapa uno: Lanzamiento de un ataque de phishing de AiTM
  2. Etapa dos: Modificación de la cuenta del usuario
  3. Etapa tres: Inicio de la campaña BEC
  4. Cómo mantenerse seguro frente a esta amenaza de ciberseguridad

Etapa uno: Lanzamiento de un ataque de phishing de AiTM

Los ataques de AiTM son operaciones en las que un actor malicioso intercepta y modifica las comunicaciones entre dos partes, generalmente un usuario y un servicio de autenticación legítimo, para robar información confidencial o financiera, como credenciales de inicio de sesión y datos de tarjetas de crédito. También se puede usar para evitar la autenticación multifactorial al robar las cookies de sesión de los usuarios.

Mientras que los ataques de AiTM anteriores generalmente usaban técnicas de proxy inverso para manejar el tráfico entre el usuario y el servicio de autenticación, esta vez los atacantes utilizaron un método de proxy indirecto. Esta técnica es ligeramente diferente ya que el atacante controla todo directamente desde un sitio web de phishing que imita la página de inicio de sesión del servicio objetivo. El sitio web procesa toda la comunicación, incluidas las solicitudes de autenticación, con el objetivo.

El usuario es tentado a visitar la página de phishing, ingresa sus credenciales y completa la autenticación adicional de MFA, que es una solicitud de MFA falsa que proviene directamente de los atacantes. En segundo plano y directamente desde el servidor de phishing, el atacante inicia la comunicación con el servicio objetivo e ingresa las credenciales válidas de los usuarios y luego la información de MFA. En ese momento, el usuario es redirigido a otra página, mientras que el atacante recibe una cookie de sesión válida haciéndose pasar por el usuario (Figura A).

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Figura A

Aumenta la complejidad de los ataques de phishing y compromiso de correo empresarial - Seguridad | Imagen 2 Newsmatic

En el ataque informado por Microsoft y llevado a cabo por un actor de amenazas denominado Storm-1167, el enlace de AiTM se envía a la víctima a través de correo electrónico. El correo electrónico de phishing se hace pasar por uno de los proveedores de confianza del objetivo para parecer más legítimo y mezclarse con el tráfico de correo electrónico legítimo y evitar detectarlos, especialmente cuando una organización tiene políticas para permitir automáticamente correos electrónicos de proveedores de confianza.

En el ejemplo de Microsoft, el actor de amenazas abusó de la plataforma legítima de diseño gráfico Canva para alojar una página que mostraba un documento falso de OneDrive que conducía a la URL de phishing (Figura B).

Figura B

Aumenta la complejidad de los ataques de phishing y compromiso de correo empresarial - Seguridad | Imagen 3 Newsmatic

Cómo proteger tu computadora de los virus: métodos y consejos

Etapa dos: Modificación de la cuenta del usuario

Una vez que el atacante poseía una cookie de sesión válida, comenzó a acceder a las conversaciones de correo electrónico y los documentos alojados en la nube y generó un nuevo token de acceso para utilizar la sesión robada durante más tiempo.

Luego, el grupo Storm-1167 agregó un nuevo método de MFA a la cuenta del usuario robada para uso futuro, mostrando una vez más su preocupación por permanecer más tiempo en el entorno. Dado que agregar un nuevo método de MFA no requiere una nueva autenticación, los atacantes agregaron silenciosamente OneWaySMS, un servicio de autenticación de contraseñas de un solo uso basado en SMS.

El paso final para el atacante en esta etapa fue crear nuevas reglas de bandeja de entrada para mover todos los correos electrónicos entrantes en la bandeja de entrada del usuario a la carpeta de archivo y marcar todos los correos electrónicos como leídos.

Etapa tres: Inicio de la campaña BEC

A continuación, el atacante, que tiene el control total del buzón de destino, inició una campaña de phishing masiva de más de 16.000 correos electrónicos, enfocándose en los contactos del usuario y listas de distribución, todos los cuales fueron identificados en hilos de correos electrónicos anteriores del buzón del usuario.

Después de enviar los correos electrónicos de phishing, el atacante supervisó el buzón y respondió a los destinatarios que respondieron con dudas sobre el correo electrónico de phishing, para confirmar falsamente que el correo electrónico era legítimo. Las respuestas no entregadas y las respuestas de fuera de la oficina fueron eliminadas.

Toda esta actividad permitió al atacante recopilar más cuentas de correo electrónico válidas en diferentes organizaciones y también iniciar la estafa BEC (Figura C).

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Figura C

Aumenta la complejidad de los ataques de phishing y compromiso de correo empresarial - Seguridad | Imagen 4 Newsmatic

Aunque Microsoft no profundiza en la explicación de la estafa BEC del actor de amenazas, se espera en este punto que el actor se haga pasar por una de las personas involucradas en las operaciones regulares de transferencia de dinero para que la víctima envíe el dinero a una cuenta bancaria propiedad de ciberdelincuentes.

Cómo mantenerse seguro frente a esta amenaza de ciberseguridad

Dado que el vector de ataque inicial es un correo electrónico de phishing, es necesario implementar soluciones de seguridad de correo electrónico que puedan detectar intentos de phishing y generar alertas sobre correos electrónicos provenientes de fuera de la empresa cuando siguen patrones de comportamiento sospechosos.

También se deben supervisar cuidadosamente los cambios en la configuración del buzón de correo electrónico. Los buzones de correo electrónico que de repente comienzan a enviar una gran cantidad de correos electrónicos o que de repente reenvían un gran número de correos electrónicos a otra dirección de correo electrónico deben generar alertas y ser analizados cuidadosamente.

Cuando sea posible, el acceso al correo electrónico debe estar restringido a direcciones IP confiables a través de redes virtuales privadas corporativas, por ejemplo; se deben implementar MFA en esos servicios. En caso de que no se puedan implementar tales restricciones, se debe realizar un monitoreo cuidadoso de cada operación de inicio de sesión para detectar cualquier intento que muestre anomalías.

Protege tus contraseñas con PAM: Tu aliado para la seguridad

También se recomienda implementar soluciones de seguridad que permitan el perfilado de usuarios. Cualquier característica inusual de una operación de inicio de sesión de un usuario generará alertas y se puede analizar con dichas soluciones.

En cuanto a la estafa BEC, cualquier cambio en relación con las transacciones de dinero debe investigarse cuidadosamente. Si un socio de confianza pide cambiar el destino de una transferencia bancaria, la solicitud debe investigarse con ese socio a través de un canal de comunicación que no sea el correo electrónico, y de preferencia no utilizando computadoras, tal vez teléfonos en su lugar, en caso de que el atacante haya instalado malware en la computadora del objetivo y pueda interceptar todas las comunicaciones.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Aumenta la complejidad de los ataques de phishing y compromiso de correo empresarial , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.