Si los atacantes logran acceder a la organización, lanzarán una segunda ola de la campaña, que consistirá en enviar correos electrónicos de phishing adicionales a objetivos tanto fuera como dentro de la organización.
Áreas objetivo
El equipo de inteligencia de amenazas de Microsoft 365 está monitoreando una campaña de malware dirigida a organizaciones en Australia y el sudeste asiático.
Para obtener información sobre sus objetivos, los atacantes enviaron correos electrónicos de phishing que parecían haber sido enviados desde DocuSign. Cuando los usuarios hacían clic en el botón Ver documento , se les dirigía a una página de inicio de sesión falsa de Office 365 rellenada previamente con sus nombres de usuario.
“Las credenciales robadas de la víctima se usaron de inmediato para establecer una conexión con Exchange Online PowerShell, muy probablemente usando un script automatizado como parte de un kit de phishing. Usando una conexión remota de PowerShell, el atacante inyectó una regla de la bandeja de entrada usando el cmdlet New-InboxRule que eliminó ciertos mensajes en función de las palabras clave en el asunto o el cuerpo del mensaje de correo electrónico”, enfatizó el equipo de inteligencia.
El filtro elimina automáticamente los mensajes que contienen ciertas palabras asociadas con spam, phishing, spam, piratería y protección con contraseña, por lo que el usuario legítimo de la cuenta no recibirá NDR ni notificaciones por correo electrónico de TI que de otro modo podrían ver.
Luego, los atacantes instalaron Microsoft Outlook en su computadora y lo conectaron al Azure Active Directory de la organización víctima, posiblemente aceptando el aviso para registrar Outlook en la primera ejecución.
Finalmente, una vez que la máquina se convirtió en parte de un dominio y el cliente de correo electrónico se configuró como cualquier otro uso común en las organizaciones, los correos electrónicos de phishing de una cuenta comprometida, las invitaciones falsas de Sharepoint que apuntaban a una página de inicio de sesión falsa de Office 365 se volvieron más convincentes.
“Las víctimas que ingresaron sus credenciales en el segundo paso del sitio de phishing se conectaron de manera similar a Exchange Online PowerShell y casi de inmediato se creó una regla para eliminar correos electrónicos en sus respectivos buzones. La regla tenía las mismas características que la regla creada en la primera etapa del ataque de campaña”, dijo el equipo.
Como navegar
Los atacantes se basaron en credenciales robadas; sin embargo, varios usuarios tenían habilitada la autenticación multifactor (MFA), lo que evitó el robo.
El equipo aconsejó a las organizaciones que habiliten la autenticación multifactor para todos los usuarios y la requieran cuando los dispositivos se unan a Azure AD, y que consideren deshabilitar Exchange Online PowerShell para los usuarios finales.
Microsoft también compartió alertas de amenazas para ayudar a las organizaciones a verificar si sus usuarios se han visto comprometidos durante esta campaña, y dijo que los defensores también deben revocar las sesiones activas y los tokens asociados con las cuentas comprometidas, eliminar las reglas de buzón creadas por los atacantes y deshabilitar y eliminar los dispositivos maliciosos a los que se han unido. . a Azure AD.
“La mejora continua en la visibilidad y protección de los dispositivos administrados está obligando a los atacantes a buscar caminos alternativos. Si bien el registro de dispositivos se usó para más ataques de phishing en este caso, el uso del registro de dispositivos va en aumento a medida que se han observado otros casos de uso. Además, la disponibilidad inmediata de herramientas de prueba de penetración diseñadas para facilitar esta técnica solo aumentará su uso por parte de otros en el futuro”, dijo el equipo.
Lagunas que vale la pena tener en cuenta
Los analistas de inteligencia de amenazas de Microsoft notaron recientemente una campaña de phishing dirigida a cientos de empresas, esta vez un intento de engañar a los empleados para que le den acceso a una aplicación llamada «Actualizar» a sus cuentas de Office 365.
“Los correos electrónicos de phishing engañan a los usuarios para que otorguen permisos a las aplicaciones que podrían permitir a los atacantes crear reglas en la bandeja de entrada, leer y escribir correos electrónicos y elementos de calendario, y leer contactos. Microsoft desactivó la aplicación en Azure AD y notificó a los clientes afectados”, dijeron.
Los atacantes también pueden eludir la autenticación multifactor de Office 365 mediante el uso de aplicaciones no autorizadas, el robo de códigos de autorización o la obtención de tokens de acceso en lugar de sus credenciales.
¿Has sido víctima de estos ataques de hackers antes? Comparta su experiencia con nosotros en la sección de comentarios a continuación.
Deja una respuesta