.jpg)
A fines del año pasado, un grupo de actores de amenazas logró obtener el estado de «editor verificado» a través del Programa Microsoft Cloud Husband or wife (MCPP). Esto les permitió superar los niveles de suplantación de identidad de marca que normalmente se ven en las campañas de phishing, ya que distribuyeron aplicaciones maliciosas respaldadas por una insignia azul verificada que solo se otorga a proveedores de servicios y proveedores de confianza en el ecosistema de Microsoft.
El MCPP es el programa de socios de canal de Microsoft, habitado por más de 400.000 empresas que venden y dan soporte a sus productos y servicios empresariales y también construyen sus propias soluciones y software a su alrededor. Los miembros incluyen proveedores de servicios administrados, proveedores de software independientes y desarrolladores de aplicaciones comerciales, entre otros.
Los investigadores de Proofpoint descubrieron por primera vez esta actividad el 6 de diciembre del año pasado. A informe publicado el 31 de enero describe cómo los actores de amenazas utilizaron su estado falso como editores de aplicaciones verificados dentro del programa MCPP para infiltrarse en los entornos de nube de las organizaciones con sede en el Reino Unido e Irlanda. Los socios de soluciones falsas se dirigieron a los empleados de finanzas y marketing and advertising, así como a los gerentes y ejecutivos, a través de aplicaciones maliciosas. Los usuarios que se enamoraron de la insignia se expusieron potencialmente a la toma de handle de la cuenta, la exfiltración de datos y el compromiso del correo electrónico comercial (BEC), y sus organizaciones quedaron expuestas a la suplantación de identidad de la marca.
En general, la campaña «utilizó una sofisticación sin precedentes para eludir los mecanismos de seguridad de Microsoft», dicen los investigadores a Darkish Looking through. «Esta fue una operación extremadamente bien pensada».
Cómo los hackers engañaron a Microsoft
Para convertirse en un editor verificado, Microsoft Cloud Partners debe cumplir con un conjunto de ocho criterios. Estos criterios son en gran parte técnicos y, como Microsoft describe en su documentación, pasar la barra «no implica ni indica los criterios de calidad que podría buscar en una aplicación». ¿Pero los actores de amenazas abusan del sistema para distribuir aplicaciones maliciosas? Eso no se supone que suceda.
El truco en este caso fue que, antes de phishing a los usuarios finales, los atacantes engañaron a la propia Microsoft.
A saber: se registraron como editores con nombres «mostrados» que imitaban a empresas legítimas. Mientras tanto, sus nombres asociados de «editor verificado» estaban ocultos y eran ligeramente diferentes. El ejemplo dado por los investigadores es que un editor que se hace pasar por «Acme LLC» podría tener un nombre de editor verificado «Acme Holdings LLC».
Evidentemente, esto fue suficiente para pasar por alto el proceso de verificación de los sistemas. De hecho, señalaron los investigadores, «en dos casos, la verificación se concedió un día después de la creación de la aplicación maliciosa».
Cuando se le contactó para comentar sobre la falla del proceso de verificación, Proofpoint no ofreció más detalles y un portavoz de Microsoft simplemente señaló: “El phishing de consentimiento es un problema continuo en toda la industria, y estamos monitoreando continuamente para detectar nuevos patrones de ataque. Hemos deshabilitado estas aplicaciones maliciosas y estamos tomando medidas adicionales para fortalecer nuestros servicios para ayudar a mantener seguros a los clientes”.
El portavoz agregó: «Se ha notificado el número limitado de clientes que se vieron afectados por la campaña descrita en el blog de Proofpoint».
Cómo los piratas informáticos engañaron a los usuarios empresariales
Habiendo obtenido su estado verificado, los actores de amenazas comenzaron a difundir aplicaciones OAuth maliciosas, un vehículo cada vez más well-liked para los atacantes cibernéticos en los últimos años. Manipularon estas aplicaciones para solicitar un amplio acceso a las cuentas de las víctimas.
«El actor usó cuentas de socios fraudulentas para agregar un editor verificado a los registros de aplicaciones OAuth que crearon en Azure Advertisement», según un consultivo publicado el 31 de enero. «Las aplicaciones creadas por estos actores fraudulentos se usaron luego en una campaña de phishing de consentimiento, que engañó a los usuarios para que otorgaran permisos a las aplicaciones fraudulentas».
OAuth, abreviatura de «autorización abierta», es un marco basado en tokens que permite a los usuarios autorizar el intercambio de ciertos datos entre aplicaciones de terceros, sin necesidad de divulgar sus credenciales de inicio de sesión en el proceso. Un ejemplo común son las opciones «iniciar sesión con Google» o «iniciar sesión con Fb» que ofrecen muchos sitios web para evitar tener que crear un nuevo conjunto de credenciales para usar con los sitios. Los diálogos de OAuth son lo suficientemente comunes como para que los usuarios simplemente presionen «Aceptar», sin profundizar en los detalles finos de lo que están aceptando.
Eliminar esta campaña de phishing de consentimiento habría requerido mucha más vigilancia que eso.
Más allá del sello de aprobación de «editor verificado», los atacantes dieron nombres vagos e inocuos a las aplicaciones que solicitaban permisos: dos se llamaban, simplemente, «Inicio de sesión único (SSO)» y una «Reunión». Y aunque publicaban bajo la apariencia de otras organizaciones suplantadas, los atacantes eligieron un nombre familiar para mostrar a los usuarios en la etapa de permisos solicitados.
«Los atacantes utilizaron diferentes campos de datos para engañar a los usuarios objetivo», dijeron los investigadores de Proofpoint. «Usaron un nombre, idéntico al nombre de la organización suplantada, como el nombre del editor visible. El otro nombre se usó como un parámetro oculto, no seen en la página de consentimiento de la aplicación maliciosa».
En un caso, «usaron una versión desactualizada del reconocido ícono de Zoom», explicaron los autores de Proofpoint en el informe, «y redireccionaron a URL similares a Zoom, así como a un dominio de Zoom genuino, para aumentar su credibilidad».
Para concluir, lo expresaron sin rodeos: «Es possible que los usuarios finales sean víctimas de los métodos avanzados de ingeniería social descritos en este web site».
Las víctimas que cayeron en la táctica concedieron a sus atacantes permiso para acceder a áreas especiales de sus cuentas, como sus buzones y calendarios. Los permisos también incluían el acceso sin conexión, lo que permitía a los piratas informáticos hacer lo que deseaban sin estar a la vista.
Aplicaciones falsas de OAuth: Conclusiones para las empresas
Después de enterarse de la campaña el 15 de diciembre, Microsoft deshabilitó las aplicaciones maliciosas y las cuentas de los editores asociados. Luego reclutó a su Unidad de Delitos Digitales para investigar más a fondo.
Según Microsoft, «Hemos implementado varias medidas de seguridad adicionales para mejorar el proceso de investigación de MCPP y disminuir el riesgo de comportamientos fraudulentos similares en el futuro».
Para defenderse de futuras campañas de este tipo, los investigadores de Proofpoint recomendaron implementar soluciones de seguridad en la nube efectivas para ayudar a detectar aplicaciones maliciosas y señalaron a los lectores las recomendaciones de Microsoft. consultivo sobre el phishing de consentimiento. Su consejo más importante fue «tener precaución al otorgar acceso a aplicaciones OAuth de terceros, incluso si Microsoft las verifica».
«No», escribieron, «confíen ni confíen en las aplicaciones de OAuth basándose únicamente en su estado de editor verificado».
