Las organizaciones de servicios bancarios y financieros son el objetivo de un nuevo ataque de phishing y compromiso de correo electrónico empresarial (BEC) de adversario en el medio (AitM) de múltiples etapas, reveló Microsoft.
«El ataque se originó en un proveedor de confianza comprometido y se transformó en una serie de ataques AiTM y una actividad BEC de seguimiento que abarcó varias organizaciones», dijo el gigante tecnológico. revelado en un informe del jueves.
Microsoft, que está rastreando el clúster bajo su nombre emergente Tormenta-1167llamó al uso del proxy indirecto por parte del grupo para llevar a cabo el ataque.
Esto permitió a los atacantes adaptar de manera flexible las páginas de phishing a sus objetivos y llevar a cabo el robo de cookies de sesión, lo que subraya la sofisticación continua de los ataques AitM.
El modus operandi es diferente a otras campañas de AitM donde las páginas de señuelo actúan como un proxy inverso para recolectar credenciales y contraseñas de un solo uso basadas en el tiempo (TOTP) ingresadas por las víctimas.
«El atacante presentó a los objetivos un sitio web que imitaba la página de inicio de sesión de la aplicación objetivo, como en los ataques de phishing tradicionales, alojados en un servicio en la nube», dijo Microsoft.
«Dicha página de inicio de sesión contenía recursos cargados desde un servidor controlado por un atacante, que inició una sesión de autenticación con el proveedor de autenticación de la aplicación de destino utilizando las credenciales de la víctima».
Las cadenas de ataque comienzan con un correo electrónico de phishing que apunta a un enlace que, cuando se hace clic, redirige a la víctima a visitar una página de inicio de sesión de Microsoft falsificada e ingresar sus credenciales y TOTP.
Las contraseñas recopiladas y las cookies de sesión se utilizan para hacerse pasar por el usuario y obtener acceso no autorizado a la bandeja de entrada del correo electrónico mediante un ataque de repetición. Luego se abusa del acceso para obtener correos electrónicos confidenciales y orquestar un ataque BEC.
Además, se agrega un nuevo método de autenticación de dos factores basado en SMS a la cuenta de destino para iniciar sesión con las credenciales robadas sin llamar la atención.
En el incidente analizado por Microsoft, se dice que el atacante inició una campaña masiva de spam, enviando más de 16.000 correos electrónicos a los contactos del usuario comprometido, tanto dentro como fuera de la organización, así como a listas de distribución.
También se ha observado que el adversario toma medidas para minimizar la detección y establecer la persistencia respondiendo a los correos electrónicos entrantes y, posteriormente, tomando medidas para eliminarlos del buzón.
En última instancia, los destinatarios de los correos electrónicos de phishing son el objetivo de un segundo ataque de AitM para robar sus credenciales y desencadenar otra campaña de phishing desde la bandeja de entrada del correo electrónico de uno de los usuarios cuya cuenta fue pirateada como resultado del ataque de AitM.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
«Este ataque muestra la complejidad de las amenazas AiTM y BEC, que abusan de las relaciones de confianza entre vendedores, proveedores y otras organizaciones asociadas con la intención de cometer fraude financiero», agregó la empresa.
El desarrollo llega menos de un mes después de Microsoft prevenido de un aumento en los ataques BEC y la evolución de las tácticas empleadas por los ciberdelincuentes, incluido el uso de plataformas, como BulletProftLink, para crear campañas de correo malicioso a escala industrial.
Otra táctica implica el uso de direcciones residenciales de protocolo de Internet (IP) para hacer que las campañas de ataque parezcan generadas localmente, dijo el gigante tecnológico.
«Los actores de amenazas BEC luego compran direcciones IP de servicios IP residenciales que coinciden con la ubicación de la víctima, creando proxies IP residenciales que permiten a los ciberdelincuentes enmascarar su origen», explicó Redmond.
«Ahora, armados con espacio de direcciones localizado para respaldar sus actividades maliciosas además de nombres de usuario y contraseñas, los atacantes de BEC pueden ocultar movimientos, eludir banderas de ‘viaje imposible’ y abrir una puerta de entrada para realizar más ataques».