Las aplicaciones maliciosas de Office 365 son los mejores iniciados: Krebs on Stability


Segmentación de phishers Microsoft Workplace 365 los usuarios recurren cada vez más a enlaces especializados que llevan a los usuarios a la página de inicio de sesión de correo electrónico de su propia organización. Después de que un usuario inicia sesión, el enlace le pide que instale una aplicación maliciosa pero con un nombre inocuo que le da al atacante acceso persistente y sin contraseña a cualquiera de los correos electrónicos y archivos del usuario, los cuales luego son saqueados para lanzar malware y estafas de phishing. contra otros.

Estos ataques comienzan con un enlace enviado por correo electrónico que, cuando se hace clic en él, no carga un sitio de phishing, sino la página de inicio de sesión real de Business 365 del usuario, ya sea en microsoft.com o en el dominio de su empleador. Después de iniciar sesión, el usuario puede ver un mensaje similar a esto:

Estas aplicaciones maliciosas permiten a los atacantes eludir la autenticación multifactor, porque el usuario las aprueba después de que el usuario ya ha iniciado sesión. Además, las aplicaciones permanecerán en la cuenta de Business office 365 de un usuario indefinidamente hasta que se eliminen, y sobrevivirán incluso después de una cuenta. restablecimiento de contraseña.

Esta semana, el proveedor de seguridad de mensajería Proofpoint publicó algunos datos nuevos sobre el aumento de estas aplicaciones maliciosas de Business 365, señalando que un alto porcentaje de usuarios de Place of work caerá en este esquema [divulgación completa: Proofpoint es un anunciante en este sitio web].

Ryan Kalember, Vicepresidente ejecutivo de estrategia de ciberseguridad de Proofpoint, dijo que el 55 por ciento de los clientes de la empresa se han enfrentado a estos ataques de aplicaciones maliciosas en un momento u otro.

«De los que fueron atacados, alrededor del 22 por ciento, o uno de cada cinco, se vieron comprometidos con éxito», dijo Kalember.

Kalember dijo que el año pasado Microsoft buscó limitar la propagación de estas aplicaciones maliciosas de Place of work mediante la creación de un sistema de verificación del editor de aplicaciones, que requiere que el editor sea un miembro válido de Microsoft Husband or wife Network.

Ese proceso de aprobación es engorroso para los atacantes, por lo que han ideado una solución sencilla. «Ahora, primero están comprometiendo las cuentas de inquilinos creíbles», explica Proofpoint. «Luego, están creando, alojando y difundiendo malware en la nube desde dentro».

Los atacantes responsables de implementar estas aplicaciones maliciosas de Workplace no buscan contraseñas y, en este caso, ni siquiera pueden verlas. Más bien, esperan que después de iniciar sesión, los usuarios hagan clic en Sí para aprobar la instalación de una aplicación maliciosa pero con un nombre inocuo en su cuenta de Place of work365.

Kalember dijo que los delincuentes detrás de estas aplicaciones maliciosas suelen utilizar cualquier cuenta de correo electrónico comprometida para realizar un «compromiso de correo electrónico comercial» o fraude BEC, que implica falsificar un correo electrónico de alguien con autoridad en una organización y solicitar el pago de una factura ficticia. Otros usos han incluido el envío de correos electrónicos con malware desde la cuenta de correo electrónico de la víctima.

El año pasado, Proofpoint escribió sobre un servicio en la clandestinidad de los ciberdelincuentes donde los clientes podían acceder a varias cuentas de Office environment 365 sin un nombre de usuario o contraseña. El servicio también anunció la capacidad de extraer y filtrar correos electrónicos y archivos basados ​​en palabras clave seleccionadas, así como adjuntar macros maliciosas a todos los documentos en Microsoft OneDrive de un usuario.

Un servicio de ciberdelincuentes que anuncia la venta de acceso a cuentas pirateadas de Business365. Imagen: Proofpoint.

«No necesita una botnet si tiene Office environment 365, y no necesita malware si tiene estas aplicaciones [maliciosas]», dijo Kalember. «Es más fácil y es una buena manera de eludir la autenticación multifactor».

KrebsOnSecurity advirtió por primera vez sobre esta tendencia en enero de 2020. Esa historia citó a Microsoft diciendo que mientras las organizaciones que ejecutan Business office 365 podría habilitar una configuración para restringir a los usuarios la instalación de aplicaciones, hacerlo fue un «paso drástico» que «perjudica gravemente la capacidad de los usuarios para ser productivos con aplicaciones de terceros».

Desde entonces, Microsoft agregó una política que permite a los administradores de Place of work 365 bloquear a los usuarios para que no den su consentimiento a una aplicación de un editor no verificado. Además, las aplicaciones publicadas después del 8 de noviembre de 2020 van acompañadas de una advertencia en la pantalla de consentimiento en caso de que el editor no esté verificado y la política del inquilino permita el consentimiento.

Las instrucciones de Microsoft para detectar y eliminar las concesiones de consentimiento ilícito en Business 365 son aquí.

Proofpoint dice que los administradores de O365 deben limitar o bloquear qué no administradores pueden crear aplicaciones y habilitar la política de publicador verificado de Microsoft, ya que la mayoría del malware en la nube aún proviene de inquilinos de Workplace 365 que no forman parte de la pink de socios de Microsoft. Los expertos dicen que también es importante asegurarse de que tener el registro de seguridad activado para que se generen alertas cuando los empleados introduzcan nuevo computer software en su infraestructura.



Enlace a la noticia authentic