Los piratas informáticos han encontrado una forma de iniciar sesión en su cuenta de Microsoft
Los titulares de cuentas de los servicios de correo electrónico de Microsoft están siendo apuntado en una campaña de phishingsegún los investigadores de seguridad del grupo ThreatLabz de Zscaler.
Se cree que el objetivo detrás de los esfuerzos de los actores de amenazas es la violación de cuentas corporativas para realizar ataques de compromiso de correo electrónico comercial (BEC).
Como informado por Bleeping Computerla actividad basada en BEC vería los pagos redirigidos hacia las cuentas bancarias de los piratas informáticos mediante el uso de documentos falsificados.
Zscaler, una empresa de seguridad en la nube, dijo que los objetivos estaban involucrados en varias industrias, como fin-tech, préstamos, contabilidad, seguros y organizaciones federales de cooperativas de ahorro y crédito con sede en EE. UU., Reino Unido, Nueva Zelanda y Australia.
Por el momento, parece que Microsoft aún no ha abordado adecuadamente la campaña, con nuevos dominios de phishing que se publican casi todos los días.
La campaña se detectó originalmente en junio de 2022, y los analistas observaron un aumento repentino de los intentos de phishing contra las industrias antes mencionadas, además de los titulares de cuentas de los servicios de correo electrónico de Microsoft.
Los actores de amenazas incorporarían enlaces a los correos electrónicos como botones o archivos HTML que redirigirían al objetivo a una página de phishing. Bleeping Computer señala cómo ciertas plataformas no ven los redireccionamientos abiertos como una vulnerabilidad, lo que ha llevado a que estos redireccionamientos maliciosos pasen por Google Ads, Snapchat y DoubleClick.
Las empresas y las personas recurren cada vez más a la autenticación multifactor para proteger sus cuentas. Como tal, obtener un correo electrónico de inicio de sesión y una contraseña hoy en día no proporcionará nada de valor a los piratas informáticos.
Los kits de phishing personalizados y proxies inversos como Evilginx2, Muraena y Modilshka ahora han entrado en juego para eludir una cuenta habilitada para MFA.
Un proxy de phishing que esencialmente actúa como intermediario entre la víctima y el servicio del proveedor de correo electrónico es capaz de extraer las cookies de autenticación. A través de este método, los piratas informáticos pueden usar las cookies robadas para iniciar sesión y evadir por completo la MFA de una cuenta.
Para esta campaña en particular, se encontró un kit de phishing basado en proxy personalizado que utiliza la herramienta de análisis de HTML y XML Beautiful Soup, que modifica las páginas de inicio de sesión reales derivadas de los inicios de sesión corporativos para incorporar componentes de phishing.
Los ciberataques en general casi se han duplicado desde el año pasado, mientras que la propia Microsoft puso en marcha una iniciativa para hacer frente al rápido aumento de la ciberdelincuencia con su programa Security Experts.
Recomendaciones de los editores