Microsoft ha advertido que los adversarios están utilizando aplicaciones OAuth como herramienta de automatización para implementar máquinas virtuales (VM) para la minería de criptomonedas y lanzar ataques de phishing.
«Los actores de amenazas comprometen las cuentas de los usuarios para crear, modificar y otorgar altos privilegios a aplicaciones OAuth que pueden utilizar indebidamente para ocultar actividad maliciosa», dijo el equipo de Microsoft Threat Intelligence. dicho en un análisis.
«El uso indebido de OAuth también permite a los actores de amenazas mantener el acceso a las aplicaciones incluso si pierden el acceso a la cuenta inicialmente comprometida».
Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad
Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes.
OAuth, abreviatura de Open Authorization, es un marco de autorización y delegación (a diferencia de la autenticación) que brinda a las aplicaciones la capacidad de acceder de forma segura a información de otros sitios web sin tener que entregar contraseñas.
En los ataques detallados por Microsoft, se ha observado que los actores de amenazas lanzan ataques de phishing o de pulverización de contraseñas contra cuentas mal protegidas con permisos para crear o modificar aplicaciones OAuth.
Uno de esos adversarios es Storm-1283, que aprovechó una cuenta de usuario comprometida para crear una aplicación OAuth e implementar máquinas virtuales para criptominería. Además, los atacantes modificaron las aplicaciones OAuth existentes a la cuenta a la que tenían acceso agregando un conjunto adicional de credenciales para facilitar los mismos objetivos.
En otro caso, un actor no identificado comprometió cuentas de usuarios y creó aplicaciones OAuth para mantener la persistencia y lanzar ataques de phishing por correo electrónico que emplean un kit de phishing de adversario en el medio (AiTM) para saquear las cookies de sesión de sus objetivos y eludir las medidas de autenticación.
«En algunos casos, después de la actividad de reproducción de cookies de la sesión robada, el actor aprovechó la cuenta de usuario comprometida para realizar un reconocimiento de fraude financiero BEC abriendo archivos adjuntos de correo electrónico en la aplicación web Microsoft Outlook (OWA) que contienen palabras clave específicas como ‘pago’ y ‘factura’. «, dijo Microsoft.
Otros escenarios detectados por el gigante tecnológico tras el robo de cookies de sesión implican la creación de aplicaciones OAuth para distribuir correos electrónicos de phishing y realizar actividades de spam a gran escala. Microsoft está rastreando a este último como Storm-1286.
Para mitigar los riesgos asociados con dichos ataques, se recomienda que las organizaciones apliquen la autenticación multifactor (MFA), habiliten políticas de acceso condicional y auditen de forma rutinaria las aplicaciones y los permisos consentidos.