Los investigadores e ingenieros de seguridad de Microsoft descubrieron un ataque masivo de phishing que ha estado dirigido a más de 10,000 organizaciones desde septiembre de 2021.

Sitio de phishing

Los actores maliciosos utilizaron sitios de phishing de adversario en el medio (AiTM) para robar contraseñas y datos de sesión; esto les permitió eludir las protecciones de autenticación multifactor para acceder a las bandejas de entrada de correo electrónico de los usuarios y ejecutar ataques de seguimiento utilizando campañas de compromiso de correo electrónico comercial contra otros objetivos.

Los ataques de phishing han recorrido un largo camino desde sus humildes comienzos. En los primeros días, las campañas de phishing se usaban en gran medida para robar contraseñas de cuentas. Si bien los ataques de phishing siguen aumentando, los datos del equipo de investigación ThreatLabz de Zscaler sugieren que los ataques crecieron un 29 % en 2021, los ataques se han adaptado a las nuevas contramedidas de protección. En el Informe de defensa digital de Microsoft de 2021Microsoft informó que vio una duplicación de los ataques de phishing en comparación con el año anterior.

La autenticación multifactor, también conocida como verificación en dos pasos, y los inicios de sesión sin contraseña han ganado popularidad. Algunos sitios han hecho que la autenticación de múltiples factores sea obligatoria para los usuarios, pero sigue siendo principalmente una función de seguridad opcional.

Las contraseñas no valen tanto si las cuentas están protegidas con una segunda capa. Los atacantes que obtienen la contraseña de una cuenta no pueden acceder a ella si la autenticación de dos factores está habilitada. Si bien es posible ingresar a cuentas en otros sitios, si el usuario usó la misma combinación de correo electrónico y contraseña, el uso de la autenticación multifactor hace que los ataques básicos de phishing sean menos lucrativos en general.

Los actores de amenazas tuvieron que encontrar nuevas técnicas de ataque para combatir el aumento de la autenticación de múltiples factores y los inicios de sesión sin contraseña. El investigador de seguridad mr.dox describió un nuevo ataque que permitía a los atacantes robar cookies de sesión. Los sitios utilizan cookies de sesión para determinar el estado de inicio de sesión de un usuario. El robo de cookies de sesión permite a los atacantes secuestrar la sesión del usuario, todo sin tener que iniciar sesión en una cuenta o completar un segundo paso de verificación.

Algunos sitios usan protecciones adicionales para evitar que el secuestro tenga éxito, pero la mayoría no lo hace.

Adversario en el medio Phishing

La campaña de phishing que analizaron los investigadores de seguridad de Microsoft también buscaba cookies de sesión de cuenta.

credito de imagen: microsoft

Los ataques de phishing Adversary-in-The-Middle utilizan un servidor proxy que se coloca entre un usuario y el sitio web que el usuario desea abrir. El tráfico se enruta a través del servidor proxy y esto le da al atacante acceso a los datos, incluidas las contraseñas de las cuentas y las cookies de sesión.

Los servicios web y las aplicaciones usan sesiones para determinar si un usuario está autenticado. Sin sesiones, los usuarios tendrían que iniciar sesión cada vez que se abre una nueva página en un sitio web.

La funcionalidad de sesión se implementa con la ayuda de cookies de sesión, que el servicio de autenticación establece después de que el usuario inicie sesión correctamente.

El ataque Adversary-in-The-Middle se centra en la cookie de sesión de un usuario, de modo que se puede omitir todo el paso de autenticación para acceder a la cuenta del usuario.

Figure2-aitm-phishing-website-intercepting-authentication
credito de imagen: microsoft

El actor de amenazas usa un proxy que se encuentra entre el dispositivo del usuario y el sitio suplantado. El uso de proxies elimina la necesidad de crear un sitio de imitación. La única diferencia visible entre el sitio original y el sitio de phishing es la URL.

Aquí está el proceso en detalle:

  1. El usuario ingresa la contraseña en el sitio de phishing.
  2. El sitio de phishing envía la solicitud al sitio web real.
  3. El sitio web real devuelve la pantalla de autenticación multifactor.
  4. El sitio de phishing envía la pantalla de autenticación de múltiples factores al usuario.
  5. El usuario completa la autenticación adicional.
  6. El sitio de phishing envía la solicitud al sitio web real.
  7. El sitio web real devuelve la cookie de sesión.
  8. El sitio de phishing requiere al usuario.

Una vez que se ha obtenido la cookie de sesión, el actor de amenazas puede usarla para omitir todo el proceso de autenticación, incluso con la autenticación multifactor habilitada.

Información sobre la campaña de phishing Adversary-in-The-Middle a gran escala

Los ingenieros de Microsoft monitorearon y analizaron una campaña de phishing a gran escala que comenzó en septiembre de 2021. Los ingenieros detectaron «múltiples iteraciones» de la campaña, dirigida a más de 10,000 organizaciones.

El ataque principal se dirigió a los usuarios de Office 365 y falsificó la página de autenticación en línea de Office usando proxies.

En una iteración de la campaña de phishing, el atacante usó correos electrónicos con archivos adjuntos HTML. Estos correos electrónicos se enviaron a varios destinatarios de una organización. En el correo electrónico, se informó a los destinatarios que tenían un mensaje de voz.

La activación del archivo adjunto incluido abriría el archivo HTML en el navegador predeterminado del usuario. La página informó al usuario que el mensaje de voz se estaba descargando. Mientras tanto, el usuario fue redirigido a un sitio de redirección; el atacante usó el sitio del redirector para verificar que el usuario venía «del archivo adjunto HTML original».

Uno de los propósitos de esto era que el atacante lograra acceder a la dirección de correo electrónico del usuario. La dirección de correo electrónico se completó en la página de inicio de sesión automáticamente para que parezca menos sospechosa.

El sitio de phishing se parecía al sitio de autenticación de Microsoft, con la excepción de la dirección web. Se dirigió a la «página de inicio de sesión de Azure Active Directory de la organización e incluyó la marca de la organización.

Las víctimas fueron redirigidas al sitio web principal de la Oficina una vez que ingresaron sus credenciales y completaron el segundo paso de verificación. El atacante interceptó los datos, incluida la cookie de sesión.

Los datos le dieron al atacante opciones para actividades de seguimiento, incluido el fraude de pago. Microsoft describe el fraude de pago de la siguiente manera:

El fraude de pago es un esquema en el que un atacante engaña a un objetivo de fraude para que transfiera pagos a cuentas propiedad del atacante. Se puede lograr secuestrando y respondiendo a hilos de correo electrónico relacionados con finanzas en curso en el buzón de la cuenta comprometida y atrayendo al objetivo del fraude para que envíe dinero a través de facturas falsas, entre otros.

En la campaña observada, los atacantes usaron su acceso para encontrar correos electrónicos y archivos adjuntos relacionados con finanzas. El correo electrónico de phishing original que se envió al usuario se eliminó para eliminar los rastros del ataque de phishing.

Una vez que los atacantes descubrían un hilo de correo electrónico que podían secuestrar, crearían reglas para mover los correos electrónicos al archivo y marcarlos como leídos automáticamente. Luego, el atacante respondería a «subprocesos de correo electrónico en curso relacionados con pagos y facturas entre el objetivo y los empleados de otras organizaciones», y eliminaría cualquier correo electrónico de los elementos enviados y la carpeta eliminada.

Cómo proteger a los usuarios contra el phishing Adversario-en-el-medio

Una opción que tienen las organizaciones cuando se trata de proteger a sus empleados contra sofisticados ataques de phishing es implementar políticas de acceso condicional que complementen las protecciones de autenticación de múltiples factores.

Estas políticas pueden evaluar las solicitudes de inicio de sesión utilizando otras señales, por ejemplo, señales basadas en identidad, incluida la información de IP, membresías de usuarios o grupos, estado del dispositivo y otros.

La educación de los empleados y usuarios también juega un papel importante. La mayoría de los ataques de phishing requieren que las víctimas potenciales se activen de una forma u otra. Los ataques pueden requerir que los usuarios hagan clic en enlaces, abran archivos adjuntos o realicen otras acciones. La mayoría de los ataques no tienen éxito cuando los usuarios permanecen pasivos y no caen en las trampas.

Información adicional está disponible en Blog de seguridad de Microsoft.

Ahora tu: ¿alguna vez ha sido víctima de un ataque de phishing? ¿Utiliza protecciones anti-phishing específicas?

Por Deyanira