Ángulos de phishing engañosos para persistencia, no contraseñas – Krebs on Protection


A fines del año pasado, reapareció una táctica de phishing desagradable que permite al atacante obtener acceso completo a los datos de un usuario almacenados en la nube sin robar la contraseña de la cuenta. El señuelo de phishing comienza con un enlace que conduce a la página de inicio de sesión serious para un servicio de almacenamiento de archivos y / o correo electrónico en la nube. Cualquiera que muerda el anzuelo enviará involuntariamente un token electronic a los atacantes que les dará acceso indefinido al correo electrónico, los archivos y los contactos de la víctima, incluso después de que la víctima haya cambiado su contraseña.

Antes de profundizar en los detalles, es importante tener en cuenta dos cosas. Primero, mientras que las versiones más recientes de este sigiloso phishing apuntaban a usuarios corporativos de Place of work 365 de Microsoft servicio, el mismo enfoque podría aprovecharse para atrapar a los usuarios de muchos otros proveedores de la nube. En segundo lugar, este ataque no es exactamente nuevo: en 2017, por ejemplo, los phishers usaron una técnica comparable para saquear cuentas en el servicio de Gmail de Google.

Aún así, vale la pena destacar esta táctica de suplantación de identidad (phishing) porque ejemplos recientes de ella recibieron relativamente poca cobertura de prensa. Además, el compromiso resultante es bastante persistente y evita la autenticación de dos factores, por lo que parece probable que veamos este enfoque explotado con mayor frecuencia en el futuro.

A principios de diciembre, expertos en seguridad de Phishlabs detallado un sofisticado esquema de phishing dirigido a usuarios de Office environment 365 que usaron un enlace malicioso que llevó a las personas que hicieron clic a una página oficial de inicio de sesión de Business office 365, login.microsoftonline.com. Cualquier persona sospechosa sobre el enlace no habría visto nada inmediato en la barra de direcciones de su navegador, y podría verificar fácilmente que el enlace realmente los llevó a la página de inicio de sesión genuine de Microsoft:

Este enlace de phishing solicita a los usuarios que inicien sesión en el portal authentic de Office 365 de Microsoft (login.microsoftonline.com).

Solo copiando y pegando el enlace o desplazándonos hacia la derecha en la barra de URL podemos detectar que algo no está bien:

Observe que esta sección de la URL (oculta fuera de la página y noticeable solo al desplazarse un poco hacia la derecha) intenta otorgar a una aplicación maliciosa alojada en oficinasuited.com acceso completo para leer el correo electrónico y los archivos de la víctima almacenados en el servicio Office 365 de Microsoft.

Como podemos ver en la URL en la imagen directamente arriba, el enlace le dice a Microsoft que reenvíe el token de autorización producido por un inicio de sesión exitoso en el dominio officeuited (.) com. A partir de ahí, se le presentará al usuario un mensaje que dice que una aplicación está solicitando permisos para leer su correo electrónico, contactos, cuadernos OneNote, acceder a sus archivos, leer / escribir en la configuración de su buzón, iniciar sesión, leer su perfil y mantener acceso a esos datos.

Imagen: Phishlabs

Según Phishlabs, la aplicación que genera esta solicitud se creó utilizando información aparentemente robada de una organización legítima. El dominio que aloja la aplicación maliciosa que se muestra arriba: officemtr (.) com – es diferente de la que vi a fines de diciembre, pero se alojó en la misma dirección de Online que officeuited (.) Com y probablemente se firmó con las mismas credenciales legítimas de la compañía.

Phishlabs dice que los atacantes están explotando una característica de Outlook conocida como «complementos», que son aplicaciones creadas por desarrolladores externos que se pueden instalar desde un archivo o URL desde la tienda de Place of work.

«Por defecto, cualquier usuario puede aplicar complementos a su aplicación de Outlook», escribió Phishlabs » Michael Tyler. «Además, Microsoft permite que los complementos y aplicaciones de Business office 365 se instalen a través de la carga lateral sin tener que pasar por la Tienda de Place of work, y evitando así cualquier proceso de revisión».

En una entrevista con KrebsOnSecurity, Tyler dijo que considera que este método de ataque se parece más al malware que al phishing tradicional, que intenta engañar a alguien para que les dé su contraseña a los estafadores.

«La diferencia aquí es que, en lugar de entregar credenciales a alguien, están permitiendo que una aplicación externa comience a interactuar directamente con su entorno de Office environment 365», dijo.

Muchos lectores en este punto pueden estar pensando que dudarían antes de aprobar permisos tan potentes como los solicitados por esta aplicación maliciosa. Pero Tyler dijo que esto supone que el usuario de alguna manera comprende que hay un tercero malicioso involucrado en la transacción.

«Podemos ver la razón por la que el phishing todavía existe, y es porque las personas están tomando decisiones que no deberían tomar o no deberían poder tomar», dijo. “Incluso los empleados que están capacitados en seguridad están capacitados para asegurarse de que sea un sitio legítimo antes de ingresar sus credenciales. Bueno, en este ataque el sitio es legítimo, y en ese momento su guardia está baja. Miro esto y pienso: ¿sería más possible que escriba mi contraseña en un cuadro o que haga clic en un botón que dice «está bien»? «

La parte aterradora de este ataque es que una vez que un usuario concede permisos de aplicación maliciosa para leer sus archivos y correos electrónicos, los atacantes pueden mantener el acceso a la cuenta incluso después de que el usuario cambie su contraseña. Además, Tyler dijo que la aplicación maliciosa que probaron no era visible como un complemento a nivel de usuario individual solo los administradores del sistema responsables de administrar las cuentas de usuario podían ver que la aplicación había sido aprobada.

Además, incluso si una organización requiere autenticación multifactor en el inicio de sesión, recuerde que el proceso de inicio de sesión de phishing se realiza en el propio sitio world wide web de Microsoft. Eso significa que tener dos factores habilitados para una cuenta no haría nada para evitar que una aplicación maliciosa que ya ha sido aprobada por el usuario acceda a sus correos electrónicos o archivos.

Una vez que se le otorga permiso para acceder al correo electrónico y a los archivos del usuario, la aplicación retendrá ese acceso hasta que ocurra una de estas dos cosas: Microsoft descubre y deshabilita la aplicación maliciosa, o un administrador en el dominio del usuario víctima elimina el programa de la cuenta del usuario.

Esperar una acción rápida de Microsoft podría no ser lo ideal: según mis pruebas, Microsoft parece haber deshabilitado la aplicación maliciosa que se sirve desde officeuited (.) Com en algún momento alrededor del 19 de diciembre, aproximadamente una semana después de su lanzamiento.

En una declaración proporcionada a KrebsOnSecurity, Director Senior de Microsoft Jeff Jones dijo que la compañía continúa monitoreando posibles variaciones nuevas de esta actividad maliciosa y tomará medidas para deshabilitar las aplicaciones a medida que se identifiquen.

«La técnica descrita se basa en una sofisticada campaña de phishing que invita a los usuarios a permitir una aplicación maliciosa de Azure Active Directory», dijo Jones. «Hemos notificado a los clientes afectados y trabajamos con ellos para ayudar a remediar sus entornos».

Las instrucciones de Microsoft para detectar y eliminar las autorizaciones ilícitas de consentimiento en Business office 365 son aquí. Microsoft dice administradores puede habilitar una configuración eso impide que los usuarios instalen aplicaciones de terceros en Business 365, pero llama a esto un «paso drástico» que «no se recomienda encarecidamente, ya que perjudica gravemente la capacidad de los usuarios para ser productivos con aplicaciones de terceros».

Tyler, de Phishlabs, dijo que no está de acuerdo con Microsoft aquí, y alienta a los administradores de Office environment 365 a impedir que los usuarios instalen aplicaciones por completo, o al menos restringirlas a las aplicaciones de la tienda oficial de Microsoft.

Además de eso, dijo, es importante que los administradores de Office 365 busquen periódicamente aplicaciones sospechosas instaladas en su entorno de Office environment 365.

«Si una organización cayera presa de esto, sus métodos tradicionales para erradicar las cosas implican activar la autenticación de dos factores, borrar las sesiones del usuario, and so on., pero eso no hará nada aquí», dijo. «Es importante que los equipos de respuesta conozcan esta táctica para que puedan buscar problemas. Si no puede o no quiere hacer eso, al menos asegúrese de tener el registro de seguridad activado por lo que genera una alerta cuando las personas introducen un nuevo software package en su infraestructura «.


Etiquetas: Jeff Jones, login.microsoftonline.com, Michael Tyler, Microsoft Business 365, microsoftonline.com, PhishLabs

Esta entrada fue publicada el martes 7 de enero de 2020 a las 4:35 pm y se archiva en Últimas advertencias, The Coming Storm, Net Fraud 2..
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el final y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia authentic