{"id":261172,"date":"2022-07-13T11:21:50","date_gmt":"2022-07-13T11:21:50","guid":{"rendered":"https:\/\/teknomers.com\/es\/microsoft-advierte-sobre-ataques-de-phishing-aitm-a-gran-escala-contra-mas-de-10-000-organizaciones\/"},"modified":"2022-07-13T11:21:50","modified_gmt":"2022-07-13T11:21:50","slug":"microsoft-advierte-sobre-ataques-de-phishing-aitm-a-gran-escala-contra-mas-de-10-000-organizaciones","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/microsoft-advierte-sobre-ataques-de-phishing-aitm-a-gran-escala-contra-mas-de-10-000-organizaciones\/","title":{"rendered":"Microsoft advierte sobre ataques de phishing AiTM a gran escala contra m\u00e1s de 10 000 organizaciones"},"content":{"rendered":"


\n<\/p>\n

\n
\"Ataques<\/div>\n

Microsoft revel\u00f3 el martes que una campa\u00f1a de phishing a gran escala se dirigi\u00f3 a m\u00e1s de 10,000 organizaciones desde septiembre de 2021 al secuestrar el proceso de autenticaci\u00f3n de Office 365 incluso en cuentas protegidas con autenticaci\u00f3n multifactor (MFA).<\/p>\n

“Los atacantes luego usaron las credenciales robadas y las cookies de sesi\u00f3n para acceder a los buzones de correo de los usuarios afectados y realizar campa\u00f1as de compromiso de correo electr\u00f3nico comercial (BEC) de seguimiento contra otros objetivos”, dijeron los equipos de seguridad cibern\u00e9tica de la compa\u00f1\u00eda. reportado<\/a>.<\/p>\n

Las intrusiones implicaron la creaci\u00f3n de sitios de phishing de adversario en el medio (AitM), en los que el adversario implementa un servidor proxy entre una v\u00edctima potencial y el sitio web objetivo para que los destinatarios de un correo electr\u00f3nico de phishing sean redirigidos a p\u00e1ginas de destino similares dise\u00f1adas para capturar credenciales. y la informaci\u00f3n de MFA.<\/p>\n

“La p\u00e1gina de phishing tiene dos sesiones diferentes de Transport Layer Security (TLS): una con el objetivo y otra con el sitio web real al que el objetivo quiere acceder”, explic\u00f3 la compa\u00f1\u00eda.<\/p>\n

“Estas sesiones significan que la p\u00e1gina de phishing funciona pr\u00e1cticamente como un agente AitM, interceptando todo el proceso de autenticaci\u00f3n y extrayendo datos valiosos de las solicitudes HTTP, como contrase\u00f1as y, lo que es m\u00e1s importante, cookies de sesi\u00f3n”.<\/p>\n

Armados con esta informaci\u00f3n, los atacantes inyectaron las cookies en sus propios navegadores para eludir el proceso de autenticaci\u00f3n, incluso en escenarios donde la v\u00edctima hab\u00eda habilitado las protecciones MFA.<\/p>\n

La campa\u00f1a de phishing detectada por Microsoft se orquest\u00f3 para se\u00f1alar a los usuarios de Office 365 falsificando la p\u00e1gina de autenticaci\u00f3n en l\u00ednea de Office, y los actores usaron el kit de phishing Evilginx2 para llevar a cabo los ataques AitM.<\/p>\n

\"Ataques<\/div>\n

Esto implic\u00f3 el env\u00edo de mensajes de correo electr\u00f3nico que conten\u00edan se\u00f1uelos tem\u00e1ticos de mensajes de voz que se marcaron con gran importancia, enga\u00f1ando a los destinatarios para que abrieran archivos adjuntos HTML con malware que redirig\u00edan a las p\u00e1ginas de destino de robo de credenciales.<\/p>\n

Para completar la artima\u00f1a, los usuarios finalmente fueron redirigidos a la oficina leg\u00edtima.[.]com despu\u00e9s de la autenticaci\u00f3n, pero no antes de que los atacantes aprovecharan el enfoque AitM antes mencionado para desviar las cookies de sesi\u00f3n y obtener control sobre la cuenta comprometida.<\/p>\n

Los ataques no terminaron ah\u00ed, ya que los atacantes abusaron del acceso a su buz\u00f3n de correo para realizar pagos fraudulentos mediante el uso de una t\u00e9cnica llamada secuestro de hilos de correo electr\u00f3nico para enga\u00f1ar a las partes en el otro extremo de la conversaci\u00f3n para transferir fondos il\u00edcitamente a cuentas bajo su control.<\/p>\n

Para enmascarar a\u00fan m\u00e1s sus comunicaciones con el objetivo del fraude, los actores de amenazas tambi\u00e9n crearon reglas de buz\u00f3n que autom\u00e1ticamente mov\u00edan cada correo electr\u00f3nico entrante que conten\u00eda el nombre de dominio relevante a la carpeta “Archivo” y lo marcaban como “le\u00eddo”.<\/p>\n

\"La<\/a><\/center><\/div>\n

“Despu\u00e9s del robo de credenciales y sesiones, un atacante tard\u00f3 tan solo cinco minutos en lanzar su fraude de pago de seguimiento”, se\u00f1al\u00f3 Microsoft.<\/p>\n

Se dice que los atacantes emplearon Outlook Web Access (OWA) en un navegador Chrome para realizar las actividades fraudulentas, al mismo tiempo que eliminaron de la carpeta de la bandeja de entrada de la cuenta el correo electr\u00f3nico de phishing original, as\u00ed como las comunicaciones de seguimiento con el objetivo tanto del archivo y las carpetas Elementos enviados para borrar rastros.<\/p>\n

“Esta campa\u00f1a de phishing de AiTM es otro ejemplo de c\u00f3mo las amenazas contin\u00faan evolucionando en respuesta a las medidas y pol\u00edticas de seguridad que las organizaciones implementan para defenderse de posibles ataques”, dijeron los investigadores.<\/p>\n

“Si bien el phishing de AiTM intenta eludir la MFA, es importante subrayar que la implementaci\u00f3n de la MFA sigue siendo un pilar esencial en la seguridad de la identidad. La MFA sigue siendo muy eficaz para detener una amplia variedad de amenazas; su eficacia es la raz\u00f3n por la que surgi\u00f3 el phishing de AiTM en primer lugar”.<\/p>\n

Los hallazgos se producen cuando un grupo de investigadores de la Universidad de Stony Brook y Palo Alto Networks demostraron a fines del a\u00f1o pasado una nueva t\u00e9cnica de huellas dactilares que permite identificar los kits de phishing de AitM en la naturaleza utilizando una herramienta llamada PHOCA.<\/p>\n

<\/p>\n<\/div>\n


\n
ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Microsoft revel\u00f3 el martes que una campa\u00f1a de phishing a gran escala se dirigi\u00f3 a m\u00e1s de 10,000<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,6088,89252,2346,4661,4664,110,4715,4662,92,4668,4667,16,7983,4654,4658,4659,4653,4655,11924,8178,4663,4666,4665,131,4660],"class_list":["post-261172","post","type-post","status-publish","format-standard","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-advierte","tag-aitm","tag-ataques","tag-ataques-ciberneticos","tag-como-hackear","tag-contra","tag-escala","tag-filtracion-de-datos","tag-gran","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-mas","tag-microsoft","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-organizaciones","tag-phishing","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-sobre","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/261172","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=261172"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/261172\/revisions"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=261172"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=261172"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=261172"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}