Una campaña de phishing a gran escala que se ha dirigido a más de 10 000 organizaciones desde septiembre de 2021 utilizó sitios de phishing de adversario en el medio (AiTM) para robar contraseñas, secuestrar sesiones de inicio de sesión y omitir funciones de autenticación, incluida la autenticación multifactor (MFA).
Eso es según el equipo de investigación de 365 Defender de Microsoft, que esta semana alertó a los usuarios sobre la amenaza y publicó los resultados de su investigación.
El señuelo inicial utilizado por los atacantes fue un correo electrónico que informaba al destinatario que necesitaba recibir un mensaje de correo de voz.
La cadena de ataque posterior explotó una característica común a todos los servicios web modernos: el uso de cookies de sesión después de la autenticación que prueban al servicio que el usuario está autenticado en su sitio web.
Pero si el atacante implementa un servidor web entre el usuario y el sitio web del servicio que desea visitar, que envía paquetes HTTP del usuario al servicio y viceversa, básicamente engaña al usuario para que se autentique en el servicio usando sus credenciales, y el servicio para devolver una cookie de sesión legítima, las cuales luego son interceptadas y robadas.
En esta campaña, el sitio web del proxy era la página de inicio de sesión de Azure Active Directory de la organización, pero la misma técnica funcionaría en otros lugares.
Una vez que el atacante tiene tanto las credenciales como las cookies de sesión, puede inyectarlas en su navegador para omitir el proceso de autenticación, incluso si MFA está habilitado. Mientras tanto, la víctima involuntaria continúa con su negocio sin saber que acaban de robarle los bolsillos.
Este método también es más conveniente para los atacantes, porque significa que pueden presentar a la víctima un sitio falso creíble (en el que solo la URL es diferente) y no necesitan esforzarse en crear un sitio de phishing falso, como sería más habitual. caso.
Los atacantes detrás de la campaña posteriormente utilizaron las credenciales robadas y las cookies de sesión para acceder a los buzones de correo y explotarlos para realizar ataques de compromiso de correo electrónico comercial (BEC) contra objetivos posteriores.
Al comentar sobre el éxito de la campaña, el director ejecutivo y cofundador de CybSafe, Oz Alashe, dijo que era evidente por qué las personas de tantas organizaciones habían sido atrapadas por ella.
“La campaña de phishing dirigida a Microsoft muestra los métodos que utilizan los atacantes para robar las credenciales de las personas”, dijo. “Estas páginas de inicio de sesión falsas y similares a las que se dirigía a los usuarios de 365 son difíciles de detectar para el ojo inexperto, por lo que no es sorprendente que hayan descubierto a tantas personas y organizaciones.
“Una vez que las personas ingresan sus credenciales de inicio de sesión, los atacantes tienen las claves del reino digital de la empresa, y desde allí pueden acceder a los archivos corporativos y tomar datos confidenciales.
“El primer paso, y el más práctico, para defenderse de estos ataques es ayudar a los empleados a iniciar sesión en 365 solo con su aplicación de escritorio, y asegurarse de que haya muchos avisos para recordárselos. No es suficiente decirlo una vez: estos ataques están diseñados para engañar a las personas para que piensen ‘oh, esto debe ser algo nuevo’ o ‘solo esta vez debe ser necesario'”.
Alashe agregó: “Cualquier enlace enviado en correos electrónicos siempre debe tratarse con precaución y siempre verifique dos veces una URL para asegurarse de que realmente tenga la dirección correcta de Microsoft 365 (https://www.office.com/) antes de hacer clic en o divulgar información confidencial”.
Aunque los ataques de elusión de MFA que utilizan técnicas similares no son nada nuevo, y la cadena de ataque no explota una vulnerabilidad inherente a la tecnología MFA, Microsoft dijo que la campaña tenía implicaciones preocupantes para los usuarios y que las organizaciones podrían hacer más para protegerse.
“Para protegerse aún más de ataques similares, las organizaciones también deberían considerar complementar MFA con políticas de acceso condicional, donde las solicitudes de inicio de sesión se evalúan utilizando señales adicionales basadas en identidad, como membresía de usuario o grupo, información de ubicación de IP y estado del dispositivo, entre otros. ”, dijo el equipo en su informe.
“Si bien el phishing de AiTM intenta eludir la MFA, es importante subrayar que la implementación de la MFA sigue siendo un pilar esencial en la seguridad de la identidad. MFA sigue siendo muy eficaz para detener una amplia variedad de amenazas. Su eficacia es la razón por la que surgió el phishing AiTM en primer lugar”.
Sharon Nachshony, investigadora de seguridad de Silverfort, especialista en gestión de identidad y acceso (IAM) con sede en Israel, dijo: “Esta campaña es interesante porque describe los enfoques creativos que adoptarán los atacantes para robar identidades y el efecto dominó resultante una vez que han violado una red. .
“BEC, el final del juego en este ataque, se ha utilizado históricamente para desviar cientos de miles de dólares de organizaciones individuales. Si, como afirma Microsoft, hubo 10.000 objetivos, eso es un retorno potencialmente enorme de las credenciales comprometidas”.
Nachshony agregó: “Si bien AiTM no es un enfoque nuevo, obtener la cookie de sesión después de la autenticación muestra cómo los atacantes han tenido que evolucionar y tomar medidas para tratar de eludir MFA, que odian. Además de los pasos descritos por Microsoft, una organización también podría derrotar este ataque enviando al usuario legítimo una ubicación con la solicitud de MFA. Esto vencería el problema que plantean los servidores proxy, que estarían en una ubicación diferente, y garantizaría un proceso de autenticación más seguro”.
