La campaña de phishing se dirige a 200 millones de cuentas de Microsoft 365



Se ha observado una campaña de suplantación de correo electrónico bien organizada dirigida a servicios financieros, seguros, atención médica, fabricación, servicios públicos y telecomunicaciones.

Una campaña de phishing a gran escala está dirigida a 200 millones de usuarios de Microsoft 365 en todo el mundo, particularmente en los sectores de servicios financieros, atención médica, seguros, fabricación, servicios públicos y telecomunicaciones, informan los investigadores de Ironscales.

Los atacantes aprovechan una técnica de suplantación de dominio para crear correos electrónicos que parecen provenir de Microsoft Outlook ((correo electrónico protegido)). Estos correos electrónicos intentan usar un lenguaje urgente para engañar a las personas para que utilicen una nueva capacidad de Microsoft 365 que permite a los titulares de cuentas reclamar correos electrónicos marcados accidentalmente como phishing o spam.

Un vínculo dentro del correo electrónico promete redirigir a los lectores a un portal de seguridad para que puedan revisar y actuar en los llamados «mensajes de cuarentena» considerados sospechosos por la pila de filtrado de Exchange On the net Safety (EOP), explican los investigadores en una publicación de weblog. A las víctimas que hagan clic en el enlace se les pedirá que ingresen sus credenciales de inicio de sesión de Microsoft en una página de autenticación falsa.

Si bien hacerse pasar por el nombre exacto y el dominio de un remitente específico es técnicamente más complejo que otros ataques de suplantación de identidad, los investigadores advierten que sigue siendo una táctica de phishing común que incluso los empleados atentos y conocedores de la seguridad probablemente pasarán por alto si llega a su bandeja de entrada.

«A easy vista, el elemento más sospechoso de este ataque sería la sensación de urgencia de ver los mensajes en cuarentena o lo inusual de recibir este tipo de solicitud por correo electrónico», agregó. los investigadores notan.

Se recomienda a las organizaciones que deseen mitigar el riesgo de este tipo de ataque que se aseguren de que sus defensas estén configuradas para la autenticación, informes y cumplimiento de mensajes basados ​​en dominios (DMARC), un protocolo de autenticación de correo electrónico creado para bloquear la suplantación exacta de dominios.

Microsoft 365 sigue siendo un objetivo well known para los ciberdelincuentes, desde atacantes con poca experiencia hasta grupos avanzados de amenazas persistentes (APT) que siguen a las víctimas empresariales hasta la nube. Algunos de estos grupos se dirigen a las empresas para robar información u obtener acceso adicional algunos apuntarán a una corporación con el objetivo de eventualmente violar otra. La mayoría de estos atacantes avanzados buscan acceso a largo plazo que les permita vivir en un entorno durante años.

Algunos grupos de APT pueden adquirir credenciales de administrador para violar un entorno de destino de Microsoft 365 otros podrían aprovechar las fallas en la forma en que la plataforma valida los cambios de configuración. Los atacantes no calificados pueden usar ataques de compromiso de correo electrónico empresarial para infiltrarse en la cuenta de Microsoft de una organización objetivo.

Campañas como la que Ironscales detectó subrayan la capacidad de los ciberdelincuentes para desarrollar ataques cada vez más sutiles. La investigación publicada por Vectra en octubre encontró que los atacantes están utilizando ampliamente las cuentas de Microsoft 365 para moverse lateralmente a otros usuarios y cuentas dentro de una organización objetivo para llevar a cabo comunicaciones de comando y command y otras actividades.

El estudio de Vectra encontró un movimiento lateral en el 96% de las cuentas de clientes de Microsoft 365 muestreadas. Con el 71% de las cuentas, notaron actividad sospechosa usando Energy Automate, una capacidad integrada en la plataforma, y ​​el 56% de las cuentas revelaron un comportamiento sospechoso identical al usar la herramienta eDiscovery en Microsoft 365.

Kelly Sheridan es la editora de personal de Dim Reading through, donde se enfoca en noticias y análisis de ciberseguridad. Ella es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y Tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic