{"id":1580267,"date":"2025-02-14T16:18:33","date_gmt":"2025-02-14T16:18:33","guid":{"rendered":"https:\/\/teknomers.com\/es\/microsoft-piratas-informaticos-rusos-que-usan-phishing-de-codigo-de-dispositivo-para-secuestrar-cuentas\/"},"modified":"2025-02-14T16:18:38","modified_gmt":"2025-02-14T16:18:38","slug":"microsoft-piratas-informaticos-rusos-que-usan-phishing-de-codigo-de-dispositivo-para-secuestrar-cuentas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/microsoft-piratas-informaticos-rusos-que-usan-phishing-de-codigo-de-dispositivo-para-secuestrar-cuentas\/","title":{"rendered":"Microsoft: piratas inform\u00e1ticos rusos que usan ‘phishing de c\u00f3digo de dispositivo’ para secuestrar cuentas"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>14 de febrero de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Seguridad empresarial \/ ataque cibern\u00e9tico<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Microsoft est\u00e1 llamando la atenci\u00f3n sobre un cl\u00faster de amenaza emergente que llama Tormenta-2372<\/strong> Eso se ha atribuido a un nuevo conjunto de ataques cibern\u00e9ticos dirigidos a una variedad de sectores desde agosto de 2024.<\/p>\n

Los ataques han atacado a los servicios y tecnolog\u00eda del gobierno, las organizaciones no gubernamentales (ONG), los servicios y la tecnolog\u00eda de la tecnolog\u00eda de la informaci\u00f3n (TI), la defensa, las telecomunicaciones, la salud, la educaci\u00f3n superior y los sectores de energ\u00eda\/petr\u00f3leo y gas en Europa, Am\u00e9rica del Norte, \u00c1frica y el medio Este. <\/p>\n

El actor de amenaza, evaluado con confianza media para alinearse con los intereses rusos, la victimolog\u00eda y la artesan\u00eda, se ha observado que se dirige a los usuarios a trav\u00e9s de aplicaciones de mensajer\u00eda como WhatsApp, Signal y los equipos de Microsoft al afirmar falsamente ser una persona prominente relevante para el objetivo en un Intento de generar confianza.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“Los ataques usan una t\u00e9cnica de phishing espec\u00edfica llamada ‘Phishing de c\u00f3digo de dispositivo’ que enga\u00f1a a los usuarios para iniciar sesi\u00f3n en aplicaciones de productividad, mientras que los actores de Storm-2372 capturan la informaci\u00f3n de los inicios de sesi\u00f3n (tokens) que pueden usar para acceder a cuentas comprometidas”, el Microsoft Inteligencia de amenazas dicho<\/a> en un nuevo informe.<\/p>\n

El objetivo es aprovechar los c\u00f3digos de autenticaci\u00f3n obtenidos a trav\u00e9s de la t\u00e9cnica para acceder a las cuentas objetivo, y el abuso que accede a obtener datos confidenciales y permite el acceso persistente al entorno de la v\u00edctima siempre que los tokens sigan siendo v\u00e1lidos.<\/p>\n

El gigante tecnol\u00f3gico dijo que el ataque implica enviar correos electr\u00f3nicos de phishing que se disfrazan de los equipos de Microsoft que cumplen con invitaciones que, cuando se hacen clic, instan a los destinatarios del mensaje a autenticarse utilizando un c\u00f3digo de dispositivo generado por el actor de amenaza, lo que permite que el adversario secuestre la sesi\u00f3n autenticada utilizando el acceso v\u00e1lido el acceso v\u00e1lido simb\u00f3lico.<\/p>\n

\"C\u00f3digo<\/a><\/div>\n

“Durante el ataque, el actor de amenaza genera una solicitud de c\u00f3digo de dispositivo leg\u00edtimo y enga\u00f1a al objetivo para que lo ingrese en una p\u00e1gina de inicio de sesi\u00f3n leg\u00edtimo”, explic\u00f3 Microsoft. “Esto otorga acceso al actor y les permite capturar la autenticaci\u00f3n, el acceso y la actualizaci\u00f3n, los tokens que se generan, luego usan esos tokens para acceder a las cuentas y datos del objetivo”.<\/p>\n

Los tokens de autenticaci\u00f3n phished se pueden usar para obtener acceso a otros servicios a los que el usuario ya tiene permisos, como correo electr\u00f3nico o almacenamiento en la nube, sin la necesidad de una contrase\u00f1a.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Microsoft dijo que la sesi\u00f3n v\u00e1lida se usa para moverse lateralmente dentro de la red enviando mensajes intraorganizacionales de phishing similares a otros usuarios desde la cuenta comprometida. Adem\u00e1s, el servicio Graph Microsoft se utiliza para buscar en los mensajes de la cuenta violada.<\/p>\n

“El actor de amenaza estaba utilizando la b\u00fasqueda de palabras clave para ver mensajes que contienen palabras como nombre de usuario, contrase\u00f1a, administrador, equipo de equipo, AnyDesk, credenciales, secreto, ministerio y gobierno”, dijo Redmond, y agreg\u00f3 los correos electr\u00f3nicos que coinciden con estos criterios de filtro se exfiltraron a los Actor de amenaza.<\/p>\n

Para mitigar el riesgo planteado por tales ataques, las organizaciones se recomiendan Bloquear el flujo del c\u00f3digo del dispositivo<\/a> Siempre que sea posible, permita la autenticaci\u00f3n multifactor (MFA) resistente al phishing, y siga el principio de menor privilegio.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n