Falsificación de correos electrónicos de equipos de Microsoft falsos para credenciales


Los empleados que pertenecen a organizaciones en industrias como la energía, el comercio minorista y la hospitalidad han sido receptores, dice Irregular Stability.

Los atacantes han comenzado a enviar correos electrónicos que suplantan las notificaciones automáticas de los equipos de Microsoft para tratar de robar las credenciales de acceso de los empleados que usan la preferred plataforma de colaboración mientras trabajan desde casa.

Según los investigadores de Irregular Security, los correos electrónicos tienen un aspecto muy convincente, con enlaces que conducen a páginas de destino que son idénticas a lo que un usuario esperaría de una página de equipos legítima. Las imágenes utilizadas en las campañas se copian de notificaciones reales y correos electrónicos de Microsoft.

«Anormal ha observado que estos ataques se envían a nuestros clientes en industrias como la energía, el comercio minorista y la hospitalidad», dice Ken Liao, vicepresidente de estrategia de ciberseguridad. «Sin embargo, estos ataques no están dirigidos y los atacantes los hacen intencionalmente genéricos para que puedan ser enviados a cualquiera».

Los atacantes han estado utilizando múltiples redireccionamientos de URL para deshacerse de las herramientas maliciosas de detección de enlaces y para ocultar la URL actual del dominio que se está utilizando para alojar los ataques. Los investigadores de Seguridad anormal han observado al menos dos campañas de ataque diferentes que implican la suplantación de mensajes de los equipos.

Un mensaje suplanta la notificación recibida cuando un compañero de trabajo está tratando de contactarlos a través de Teams. El otro afirma que el destinatario tiene un archivo esperándolo en Microsoft Teams, y el pie de página del correo electrónico contiene enlaces legítimos a descargas de aplicaciones de Microsoft Groups, dice Liao.

En uno de los ataques, el correo electrónico de phishing contiene un enlace a un documento alojado en un sitio utilizado por una empresa de advertising por correo electrónico. El documento alojado contiene una imagen que solicita a los usuarios que inicien sesión en su cuenta de Teams. Los usuarios que hacen clic en la imagen son redirigidos a una página de inicio que se hace pasar por la página de inicio de sesión de Microsoft Business para capturar las credenciales de la víctima.

En la segunda campaña, el enlace en el correo electrónico redirige al usuario a una página en YouTube, y luego nuevamente un par de veces más antes de llegar finalmente al sitio de credencial de phishing. «Dado que Microsoft Teams está vinculado a Microsoft Business 365, el atacante puede tener acceso a otra información disponible con las credenciales de Microsoft del usuario a través del inicio de sesión único», dijo Abnormal Safety en un Site Publicar hoy.

Los dos ataques no parecen ser enviados por el mismo operador, dice Liao. Cada campaña tiene diferentes contenidos de correo electrónico y métodos de entrega de carga útil. «Además, estas campañas se enviaron con dos semanas de diferencia y utilizaron información diferente del remitente», dice.

Estas nuevas campañas de ataque por correo electrónico son la última evidencia del aumento de la actividad de los actores de amenazas que buscan explotar las interrupciones en el lugar de trabajo causadas por la pandemia de COVID-19. Los mandatos de distanciamiento social han obligado a las organizaciones de todo el mundo a implementar políticas de teletrabajo a gran escala, a menudo con poca planificación o sin experiencia previa. El aumento en el teletrabajo ha llevado a un aumento en el uso y al interés del atacante en plataformas de colaboración como Teams, Slack y Zoom. De estos, Microsoft Teams en distinct ha sido una de las plataformas más atacadas, según Irregular Stability.

El nuevo ataque contra los usuarios de Teams se create pocos días después de que otro proveedor de seguridad, Cyberark, revelara una vulnerabilidad peligrosa, pero ya parcheada, en la plataforma de colaboración de Microsoft. La vulnerabilidad tenía que ver con la forma en que Groups manejó cierta información de autenticación y habría permitido que un atacante pusiera en peligro todas las cuentas de Groups en una organización que usa poco más que un GIF malicioso. Los usuarios ni siquiera habrían necesitado interactuar con el GIF para verse comprometidos.

Contenido relacionado:

Mira esta lista de productos y servicios de seguridad gratuitos compilado para Dim Reading through por analistas de Omdia para ayudarlo a enfrentar los desafíos de COVID-19.

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Más thoughts





Enlace a la noticia primary