Los spear-phishers aprovechan el ecosistema de Office environment 365 para …



La nueva técnica de ataque utiliza las API de Place of work 365 para verificar las credenciales con Azure Energetic Listing a medida que la víctima las ingresa.

Sirviendo como otro punto de prueba de la creatividad con la que los atacantes están apuntando a los usuarios de Place of work 365 con nuevos esquemas de phishing, los investigadores de Armorblox detallaron ayer una nueva técnica de ataque que encontraron que valida las credenciales robadas en tiempo true a medida que la víctima las ingresa en el señuelo de inicio de sesión.

El ataque en cuestión es parte de una campaña de spear-phishing muy dirigida que se descubrió operando contra un ejecutivo de una de las 50 principales empresas estadounidenses. Funciona así: los atacantes envían un correo electrónico típico de phishing de credenciales mediante Amazon Straightforward Electronic mail Company para pasar las comprobaciones DKIM y SPF. Adjunto al mensaje hay un informe de pago falso que parece un archivo de texto con un título como «Nombre de la empresa ACH».

Al abrir ese archivo, se abre automáticamente una página de inicio de sesión similar a Office 365 con la dirección de correo electrónico del usuario ya ingresada previamente, con un mensaje que dice: «Debido a que está accediendo a información confidencial, debe verificar su contraseña».

Todos estos pasos son bastante estándar, pero lo que sucede a continuación es lo que diferencia este ataque de otros. Cuando una víctima ingresa una contraseña en la pantalla de inicio de sesión falsa, eso desencadena una llamada a las API de Business office 365 para validar activamente esa combinación de nombre de usuario / contraseña con la infraestructura de Azure Active Directory de esa organización.

«Esta retroalimentación inmediata permite al atacante responder de manera inteligente durante el ataque», escribió Workforce Armorblox en un entrada en el site sobre el ataque. «El atacante también es consciente de inmediato de una credencial activa y comprometida y le permite potencialmente congraciarse con la cuenta comprometida antes de cualquier corrección».

Si la verificación de inicio de sesión es exitosa, el usuario es redirigido a zoom.com, probablemente como una táctica de distracción para hacer que el proceso parezca un error benigno. Si la autenticación falla, se dirige al usuario a login.microsoftonline.com, probablemente para ocultar el intento de suplantación de identidad como un inicio de sesión fallido en el portal de Business 365.

Al examinar el ataque, Armorblox encontró actividad limitada en el sitio net que aloja el ataque. Además, junto con el momento en que se envió el correo electrónico de señuelo (era un viernes por la noche), el ataque se aprovechó cuidadosamente contra ese ejecutivo y esa organización.

«Nuestras estimaciones muestran que ha habido 120 visitas a este sitio net en todo el mundo desde principios de junio. El escaso número muestra que las estafas de phishing probablemente sean dirigidas y no rocían ni rezan», escribieron.

Este es un ejemplo de muchas formas nuevas y creativas de explotar la naturaleza interconectada del ecosistema de Office 365 a través de varios esquemas de phishing y compromiso de correo electrónico empresarial (BEC).

Por ejemplo, a finales de julio Investigadores de seguridad anormal informaron un ataque inventado para parecer mensajes Sharepoint automatizados para enganchar las credenciales de los empleados. Y a principios de agosto, los investigadores de Development Micro informaron sobre una ola de campañas de BEC que se han dirigido a las cuentas de Workplace 365 de los ejecutivos de negocios desde marzo. Mientras tanto, un estudio publicado por Ironscales Hace varias semanas, encontré unas 9.500 páginas de inicio de sesión de Microsoft falsas diferentes acechando en línea, todas conectadas a diferentes campañas dirigidas a Business office 365.

En Black Hat Usa este año, los investigadores Josh Madeley y Doug Bienstock presentaron una variedad de diferentes tipos de tácticas, técnicas y procedimientos (TTP) utilizados por los atacantes contra Workplace 365. Dijeron que el ecosistema se ha vuelto cada vez más interesante para los atacantes a medida que más empresas abrácelo por completo para una variedad de aplicaciones diferentes que van mucho más allá del correo electrónico.

«Muchas organizaciones han elevado su entorno de Exchange en las instalaciones a la nube sin mucha consideración o conocimiento de los nuevos riesgos y vectores de atacantes a los que esto los expone», según Bienstock, en una entrevista separada. Explicó que la combinación de diferentes entornos de productividad valiosos como Outlook, OneDrive, SharePoint y Groups abre un gran volumen de datos confidenciales en una plataforma en la nube consolidada. Es un vector listo para atacar, señaló.

En una entrevista reciente de Dark Looking through Information Desk durante Black Hat, Madeley presagió un poco el ataque descrito por Armorblox al explicar que Azure Lively Directory es una característica que a menudo se pasa por alto como vector de amenaza para las organizaciones de Office environment 365.

«Para la mayoría de las organizaciones, es el proveedor de autenticación de sus empleados», explicó. «Entonces, si un atacante tiene acceso a eso, tiene acceso a sitios que están integrados en el directorio activo que están federados con Azure».

Ericka Chickowski se especializa en cobertura de tecnología de la información e innovación empresarial. Se ha centrado en la seguridad de la información durante la mayor parte de una década y escribe regularmente sobre la industria de la seguridad como colaboradora de Darkish Reading. Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first