{"id":1394440,"date":"2024-10-09T06:43:31","date_gmt":"2024-10-09T06:43:31","guid":{"rendered":"https:\/\/teknomers.com\/es\/microsoft-detecta-un-uso-cada-vez-mayor-de-servicios-de-alojamiento-de-archivos-en-ataques-que-comprometen-el-correo-electronico-empresarial\/"},"modified":"2024-10-09T06:43:35","modified_gmt":"2024-10-09T06:43:35","slug":"microsoft-detecta-un-uso-cada-vez-mayor-de-servicios-de-alojamiento-de-archivos-en-ataques-que-comprometen-el-correo-electronico-empresarial","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/microsoft-detecta-un-uso-cada-vez-mayor-de-servicios-de-alojamiento-de-archivos-en-ataques-que-comprometen-el-correo-electronico-empresarial\/","title":{"rendered":"Microsoft detecta un uso cada vez mayor de servicios de alojamiento de archivos en ataques que comprometen el correo electr\u00f3nico empresarial"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>09 de octubre de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Seguridad empresarial\/robo de identidad<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Microsoft es advertencia<\/a> de campa\u00f1as de ciberataques que abusan de servicios leg\u00edtimos de alojamiento de archivos como SharePoint, OneDrive y Dropbox, que se utilizan ampliamente en entornos empresariales como t\u00e1ctica de evasi\u00f3n de defensa.<\/p>\n

El objetivo final de las campa\u00f1as es amplio y variado, lo que permite a los actores de amenazas comprometer identidades y dispositivos y realizar ataques de compromiso de correo electr\u00f3nico empresarial (BEC), que en \u00faltima instancia resultan en fraude financiero, exfiltraci\u00f3n de datos y movimiento lateral a otros puntos finales.<\/p>\n

La utilizaci\u00f3n de servicios leg\u00edtimos de Internet (LIS) como armas es un vector de riesgo cada vez m\u00e1s popular adoptado por los adversarios para mezclarse con el tr\u00e1fico de red leg\u00edtimo de tal manera que a menudo elude las defensas de seguridad tradicionales y complica los esfuerzos de atribuci\u00f3n.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Este enfoque tambi\u00e9n se denomina vivir en sitios confiables (LOTS), ya que aprovecha la confianza y la familiaridad de estos servicios para eludir las barreras de seguridad del correo electr\u00f3nico y distribuir malware.<\/p>\n

Microsoft dijo que ha estado observando una nueva tendencia en campa\u00f1as de phishing que explotan servicios leg\u00edtimos de alojamiento de archivos desde mediados de abril de 2024 y que involucran archivos con acceso restringido y restricciones de solo visualizaci\u00f3n.<\/p>\n

\"Ataques<\/a><\/div>\n

Estos ataques a menudo comienzan con el compromiso de un usuario de un proveedor confiable, aprovechando el acceso para almacenar archivos maliciosos y cargas \u00fatiles en el servicio de alojamiento de archivos para compartirlos posteriormente con una entidad objetivo.<\/p>\n

“Los archivos enviados a trav\u00e9s de correos electr\u00f3nicos de phishing est\u00e1n configurados para que sean accesibles \u00fanicamente para el destinatario designado”, dec\u00eda. “Esto requiere que el destinatario inicie sesi\u00f3n en el servicio para compartir archivos, ya sea Dropbox, OneDrive o SharePoint, o que se vuelva a autenticar ingresando su direcci\u00f3n de correo electr\u00f3nico junto con una contrase\u00f1a de un solo uso (OTP) recibida a trav\u00e9s de un servicio de notificaci\u00f3n. “.<\/p>\n

Es m\u00e1s, los archivos compartidos como parte de los ataques de phishing est\u00e1n configurados en modo “solo visualizaci\u00f3n”, lo que impide descargar y detectar URL incrustadas dentro del archivo.<\/p>\n

Al destinatario que intenta acceder al archivo compartido se le solicita que verifique su identidad proporcionando su direcci\u00f3n de correo electr\u00f3nico y una contrase\u00f1a de un solo uso enviada a su cuenta de correo electr\u00f3nico.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Una vez que se autorizan exitosamente, se le indica al objetivo que haga clic en otro enlace para ver el contenido real. Sin embargo, al hacerlo, se les redirige a una p\u00e1gina de phishing de adversario en el medio (AitM) que roba su contrase\u00f1a y tokens de autenticaci\u00f3n de dos factores (2FA).<\/p>\n

Esto no s\u00f3lo permite a los actores de amenazas tomar el control de la cuenta, sino tambi\u00e9n utilizarla para perpetuar otras estafas, incluidos ataques BEC y fraudes financieros.<\/p>\n

\"Ataques<\/a><\/div>\n

“Si bien estas campa\u00f1as son de naturaleza gen\u00e9rica y oportunista, implican t\u00e9cnicas sofisticadas para realizar ingenier\u00eda social, evadir la detecci\u00f3n y ampliar el alcance de los actores de amenazas a otras cuentas e inquilinos”, dijo el equipo de Microsoft Threat Intelligence.<\/p>\n

El desarrollo se produce cuando Sekoia detall\u00f3 un nuevo kit de phishing AitM llamado Mamba 2FA que se vende como phishing como servicio (PhaaS) a otros actores de amenazas para que lo realicen. campa\u00f1as de phishing por correo electr\u00f3nico<\/a> que propagan archivos adjuntos HTML que se hacen pasar por p\u00e1ginas de inicio de sesi\u00f3n de Microsoft 365.<\/p>\n

El kit, que se ofrece mediante suscripci\u00f3n por 250 d\u00f3lares al mes, es compatible con Microsoft Entra ID, AD FS, proveedores de SSO externos y cuentas de consumidores. Mamba 2FA se utiliza activamente desde noviembre de 2023.<\/p>\n

“Maneja verificaciones de dos pasos para m\u00e9todos MFA no resistentes al phishing, como c\u00f3digos de un solo uso y notificaciones de aplicaciones”, dijo la empresa francesa de ciberseguridad. “Las credenciales y cookies robadas se env\u00edan instant\u00e1neamente al atacante a trav\u00e9s de un bot de Telegram”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n