Los analistas de investigación de ciberseguridad de Zscaler han descubierto una nueva campaña de phishing a gran escala dirigida a los usuarios de correo electrónico de Microsoft. Los principales objetivos de la campaña son los usuarios corporativos, específicamente los usuarios finales en entornos empresariales que utilizan los servicios de correo electrónico de Microsoft.

campaña de phishing de aitm
Crédito de la imagen: Zscaler

Los atacantes utilizan las llamadas técnicas Adversary-in-The-Middle (AiTM) para eludir las protecciones de autenticación multifactor (MFA). Microsoft publicó información sobre un ataque similar a principios de julio. El ataque que Microsoft describió se dirigió a más de 10,000 organizaciones y utilizó técnicas AiTM para eludir las protecciones MFA.

Zscaler describe el nuevo ataque como altamente sofisticado. «Utiliza una técnica de ataque de adversario en el medio (AiTM) capaz de eludir la autenticación de múltiples factores» y «múltiples técnicas de evasión utilizadas en varias etapas del ataque diseñadas para eludir las soluciones de seguridad de red y seguridad de correo electrónico convencionales».

La mayoría de las organizaciones objetivo de la campaña maliciosa tienen su sede en los Estados Unidos, el Reino Unido, Nueva Zelanda y Australia. Los principales sectores son las industrias de tecnología financiera, préstamos, finanzas, seguros, contabilidad, energía y cooperativas de ahorro y crédito federales.

El ataque comienza con el envío de correos electrónicos de phishing a las direcciones de correo electrónico de Microsoft. Todo depende de estos correos electrónicos de phishing y de los usuarios que interactúan con ellos. Los correos electrónicos maliciosos pueden contener un enlace directo a un dominio de phishing o archivos adjuntos HTML que contienen el enlace. En cualquier caso, es necesario que el usuario active el enlace para iniciar la cadena de infección.

De manera similar a la campaña de phishing que Microsoft describió anteriormente, los correos electrónicos de phishing en la campaña descubierta utilizan varios temas para llamar la atención de los usuarios. Un correo electrónico sugirió que contenía una factura para revisión, otro que se recibió un nuevo documento que debía verse en línea.

La campaña utiliza varias técnicas de redirección. Por ejemplo, utilizó el servicio CodeSandbox legítimo en la campaña para «crear rápidamente nuevas páginas de códigos, pegar en ellas un código de redirección con la última URL del sitio de phishing y proceder a enviar por correo el enlace al código de redirección alojado a las víctimas en masa».

Los sitios de phishing utilizaron técnicas de huellas dactilares para determinar si el visitante de la página es una víctima de la campaña u otra persona. Zscaler cree que esto se hace para dificultar el acceso de los investigadores de seguridad a los sitios de phishing.

Los ataques de phishing AiTM basados ​​en proxy se sitúan entre el dispositivo del usuario y el servicio de destino. Controlan el flujo de datos y los manipulan. Al final, toma las cookies de sesión generadas durante el proceso para acceder al servicio de correo electrónico sin tener que iniciar sesión nuevamente o completar el proceso de inicio de sesión mediante MFA.

Conclusión

Las campañas de phishing se vuelven cada vez más sofisticadas, pero un punto en común para la mayoría de ellas es que requieren la actividad del usuario. Los usuarios experimentados saben cómo analizar los correos electrónicos para averiguar si provienen de un remitente legítimo, pero la mayoría de los usuarios no tienen estas habilidades.

Ahora tu: ¿Analiza los correos electrónicos antes de abrir enlaces o archivos adjuntos?

Por Deyanira