Más de 10.000 organizaciones de todo el mundo han sido el objetivo en el último año de una campaña masiva de 'phishing' basada en el robo de las 'cookies' de sesión, capaz de sortear la autenticación de dos pasos, para acceder a cuentas de 'email' legítimas desde las que lanzar un ataque de compromiso de correo electrónico comercial (BEC).
Microsoft ha alertado de una campaña masiva de 'phishing' que utilizó sitios fraudulentos de adversario en el medio (AiTM) para robar la 'cookie' de sesión de los usuarios, un tipo de 'cookie' que guarda la información de inicio de sesión del usuario en una web cuando esta ha sido exitosa, manteniéndola activa.
Para el robo de la 'cookie' de sesión no se aprovechó una vulnerabilidad como tal, sino que los ciberatacantes establecieron un servidor web entre el usuario y la página legítima para interceptar el proceso de inicio de sesión, con el que obtuvieron tanto las credenciales como la 'cookie'.
Con esta 'cookie', los ciberatacantes pueden replicar el inicio de sesión del usuario, haciéndose pasar por él. Este acceso no autorizado a la cuenta sucede incluso si la víctima tenía activado un sistema de autenticación de dos factores, como ha destacado la compañía en un comunicado.
Mediante este procedimiento, los cibertacantes lograron acceder a la cuenta correo de los usuarios afectados, un correo legítimo, desplegando desde ella una campaña masiva de compromiso de correo electrónico comercial para llegar a nuevas víctimas.
En concreto, y como detalla la compañía, Microsoft 365 Defender detectó el intento de la campaña de 'phishing' AiTM de impactar en más de 10.000 organizaciones, usuarios de Office 365, desde septiembre del año pasado.
En la campaña BEC, los correos fraudulentos enviados desde direcciones legítimas tenían adjunto un archivo que decía ser un mensaje de voz pese a no descargar un archivo mp3, sino uno HTML. Una vez descargado, la víctima era redirigida a una página falsa que solicitaba laautenticación en Azure AD, pudiendo de esta forma interceptar las credenciales y actuar desde dentro de la organización.
El objetivo final de esta campaña es el fraude financiero, es decir, engañar a las víctimas para que realicen transferencias de dinero haciéndose pasar por la organización.
Para pasar desapercibidos, los cibertacantes eliminaban los correos electrónicos fraudulentos que enviaban desde las cuentas legítimas, y estaban pendientes de las respuestas al 'email' enviado, procediendo a su eliminación lo antes posible, para evitar levantar sospechas.
Pese a que esta campaña de 'phishing' AiTM sortea la capa de seguridad adicional que provee la autenticación de dos factores, desde Microsoft insisten en que este sigue siendo un mecanismo "muy eficaz para detener una amplia variedad de amenazas", aunque recomiendan complementarlo con soluciones 'antiphishing' avanzadas, políticas de acceso condicional y la supervisión de los inicios de sesión para detectar actividades sospechosas.
Fuente EP.