marzo 29, 2024
Artículos La seguridad cibernética Tecnología

Los piratas informáticos abusaron de las aplicaciones Microsoft OAuth para violar las cuentas de correo electrónico corporativas

El martes, Microsoft anunció que tomó medidas para deshabilitar las cuentas falsas de Microsoft Partner Network (MPN) que se habían utilizado para crear aplicaciones OAuth dañinas como parte de una campaña de phishing destinada a infiltrarse en los entornos de nube de las empresas y robar correo electrónico.

La compañía de TI afirmó que los actores fraudulentos "construyeron aplicaciones que luego se implementaron en una campaña de phishing de consentimiento, que engañó a los usuarios para que autorizaran el acceso a las aplicaciones falsas". “Esta campaña de phishing se dirigió principalmente a clientes en el Reino Unido e Irlanda”.

El phishing de consentimiento es un tipo de ataque de ingeniería social en el que se persuade a los usuarios para que otorguen permiso a aplicaciones en la nube maliciosas, que posteriormente pueden usarse como arma para acceder a datos de usuario seguros y a una nube legítima.
.A

Además, Microsoft declaró que agregó más medidas de seguridad para fortalecer el proceso de verificación conectado con el Programa Microsoft Cloud Partner (anteriormente MPN) y disminuir la probabilidad de actividad fraudulenta en el futuro.

La publicación está programada para coincidir con un documento de Proofpoint que describe cómo los actores de amenazas pudieron comprometer con éxito las infraestructuras de nube corporativa aprovechando el estado de Microsoft como "editor certificado".

La campaña es notable porque fue efectiva en engañar a Microsoft para obtener la insignia azul validada imitando a empresas conocidas.
Las aplicaciones de OAuth deshonestas, según Proofpoint, tenían "permisos delegados de gran alcance" que incluían leer correos electrónicos, cambiar la configuración del buzón y acceder a archivos y otros datos vinculados a la cuenta del usuario.

También señaló que, en contraste con una campaña anterior que comprometió a los editores de Microsoft ya verificados para explotar las capacidades de la aplicación OAuth, los ataques más recientes se realizan para hacerse pasar por editores confiables para obtener aplicaciones maliciosas verificadas y propagadas.

Tres de las aplicaciones antes mencionadas se denominaron "Inicio de sesión único (SSO)", y el tercer programa intentó pasar como software de videoconferencia utilizando el término "Reunión".

Las mismas empresas fueron el objetivo de las tres aplicaciones, que fueron creadas por tres editores independientes y utilizaron la misma infraestructura bajo el control del atacante.
Las organizaciones pueden verse afectadas por cuentas de usuario pirateadas, exfiltración de datos, infracción de marca por parte de empresas impostoras, fraude de compromiso de correo electrónico comercial (BEC) y abuso de buzón, según el proveedor de seguridad empresarial.

El 27 de diciembre de 2022, una semana después de que Proofpoint notificara a Microsoft sobre el ataque del 20 de diciembre y se bloquearan las aplicaciones, se informa que la campaña llegó a su fin.

Los hallazgos muestran el nivel de sofisticación utilizado para llevar a cabo el asalto, así como también cómo se eludieron las medidas de seguridad de Microsoft y cómo se abusó de la confianza de los usuarios en los proveedores de servicios y proveedores empresariales.

Ya se han utilizado aplicaciones falsas de OAuth para atacar los servicios en la nube de Microsoft. Proofpoint describió una actividad de amenaza adicional conocida como OiVaVoii en enero de 2022 dirigida a altos ejecutivos en un esfuerzo por ganar poder.
Luego, en septiembre de 2022, Microsoft reveló que había detenido un ataque que usaba aplicaciones OAuth no autorizadas instaladas en inquilinos de la nube infectados para eventualmente apoderarse de los servidores de Exchange y enviar spam.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

es_COEspañol de Colombia