«Docenas» de organizaciones en todo el mundo han sido atacadas como parte de un amplio compromiso de correo electrónico comercial (BEC) campaña que implicó el uso de técnicas adversary-in-the-middle (AitM) para llevar a cabo los ataques.
«Después de un intento exitoso de phishing, el actor de amenazas obtuvo acceso inicial a la cuenta de uno de los empleados víctimas y ejecutó un ataque de ‘adversario en el medio’ para evitar la autenticación de Office365 y obtener acceso persistente a esa cuenta», investigadores de Sygnia. dicho en un informe compartido con The Hacker News.
«Una vez que ganó persistencia, el actor de amenazas extrajo datos de la cuenta comprometida y usó su acceso para propagar los ataques de phishing contra los empleados de otras víctimas junto con varias organizaciones externas objetivo».
Los hallazgos llegan menos de una semana después de que Microsoft detallara una combinación similar de un phishing AitM y un ataque BEC dirigido a organizaciones de servicios bancarios y financieros.
estafas BEC típicamente implican engañar a un objetivo por correo electrónico para que envíe dinero o divulgue información confidencial de la empresa. Además de personalizar los correos electrónicos para la víctima prevista, el atacante también puede hacerse pasar por una figura de confianza para lograr sus objetivos.
Esto, a su vez, se puede lograr tomando el control de la cuenta a través de un elaborado esquema de ingeniería social, luego del cual el estafador envía por correo electrónico a los clientes o proveedores de la empresa facturas falsas que solicitan el pago a una cuenta bancaria fraudulenta.
En la cadena de ataque documentada por Sygnia, se observó que el atacante enviaba un correo electrónico de phishing que contenía un enlace a un supuesto «documento compartido» que finalmente redirigía a la víctima a una página de phishing de AitM diseñada para recopilar las credenciales ingresadas y las contraseñas de un solo uso.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
Además, se dice que los actores de amenazas abusaron del acceso temporal a la cuenta comprometida para registrar un nuevo dispositivo de autenticación multifactor (MFA) para obtener un punto de apoyo remoto persistente desde una dirección IP diferente ubicada en Australia.
«Además de la filtración de datos confidenciales de la cuenta de la víctima, el actor de amenazas usó este acceso para enviar nuevos correos electrónicos de phishing que contenían el nuevo enlace malicioso a docenas de empleados del cliente, así como a otras organizaciones objetivo», dijeron los investigadores de Sygnia.
La compañía de seguridad cibernética israelí dijo además que los correos de phishing se propagaron «como un gusano» de una empresa objetivo a otra y entre los empleados dentro de la misma empresa. Actualmente se desconoce la escala exacta de la campaña.