Microsoft dijo el martes que tom\u00f3 medidas para deshabilitar cuentas falsas de Microsoft Partner Network (MPN) que se usaron para crear programas maliciosos. OAuth<\/a> aplicaciones como parte de una campa\u00f1a maliciosa dise\u00f1ada para violar los entornos de nube de las organizaciones y robar correo electr\u00f3nico.<\/p>\n “Las aplicaciones creadas por estos actores fraudulentos se usaron luego en una campa\u00f1a de phishing de consentimiento, que enga\u00f1\u00f3 a los usuarios para que otorgaran permisos a las aplicaciones fraudulentas”, dijo el gigante tecnol\u00f3gico. dicho<\/a>. “Esta campa\u00f1a de phishing se dirigi\u00f3 a un subconjunto de clientes que se encuentran principalmente en el Reino Unido e Irlanda”.<\/p>\n El phishing de consentimiento es un ataque de ingenieria social<\/a> en el que se enga\u00f1a a los usuarios para que otorguen permisos a aplicaciones en la nube maliciosas, que luego pueden armarse para obtener acceso a servicios en la nube leg\u00edtimos y datos confidenciales del usuario.<\/p>\n El fabricante de Windows dijo que se enter\u00f3 de la campa\u00f1a el 15 de diciembre de 2022. Desde entonces, alert\u00f3 a los clientes afectados por correo electr\u00f3nico, y la compa\u00f1\u00eda se\u00f1al\u00f3 que los actores de amenazas abusaron del consentimiento para filtrar los buzones de correo.<\/p>\n Adem\u00e1s de eso, Microsoft dijo que implement\u00f3 medidas de seguridad adicionales para mejorar el proceso de investigaci\u00f3n asociado con el Programa de socios de la nube de Microsoft<\/a> (anteriormente MPN) y minimizar el potencial de fraude en el futuro.<\/p>\n La divulgaci\u00f3n coincide con un informe publicado<\/a> por Proofpoint sobre c\u00f3mo los actores de amenazas han explotado con \u00e9xito el “editor verificado<\/a>” estado para infiltrarse en los entornos de nube de las organizaciones.<\/p>\n Lo notable de la campa\u00f1a es que al imitar marcas populares, tambi\u00e9n logr\u00f3 enga\u00f1ar a Microsoft para obtener la insignia azul verificada. “El actor us\u00f3 cuentas de socios fraudulentas para agregar un editor verificado a los registros de la aplicaci\u00f3n OAuth que crearon en Azure AD”, explic\u00f3 la compa\u00f1\u00eda.<\/p>\n Estos ataques, que se observaron por primera vez el 6 de diciembre de 2022, emplearon versiones similares de aplicaciones leg\u00edtimas como Zoom para enga\u00f1ar a los objetivos para que autorizaran el acceso y facilitaran el robo de datos. Los objetivos inclu\u00edan finanzas, marketing, gerentes y altos ejecutivos.<\/p>\n Proofpoint se\u00f1al\u00f3 que las aplicaciones maliciosas de OAuth ten\u00edan “permisos delegados de gran alcance”, como leer correos electr\u00f3nicos, ajustar la configuraci\u00f3n del buz\u00f3n y obtener acceso a archivos y otros datos conectados a la cuenta del usuario.<\/p>\n Tambi\u00e9n dijo que a diferencia de un campa\u00f1a anterior<\/a> que comprometi\u00f3 a los editores verificados de Microsoft existentes para aprovechar los privilegios de la aplicaci\u00f3n OAuth, los \u00faltimos ataques est\u00e1n dise\u00f1ados para hacerse pasar por editores leg\u00edtimos para verificar y distribuir las aplicaciones no autorizadas.<\/p>\n Dos de las aplicaciones en cuesti\u00f3n se llamaron “Single Sign-on (SSO)”, mientras que la tercera aplicaci\u00f3n se llam\u00f3 “Meeting” en un intento de hacerse pasar por un software de videoconferencia. Las tres aplicaciones, creadas por tres editores diferentes, se dirigieron a las mismas empresas y aprovecharon la misma infraestructura controlada por el atacante.<\/p>\n \u201cEl impacto potencial para las organizaciones incluye cuentas de usuario comprometidas, exfiltraci\u00f3n de datos, abuso de marca de organizaciones suplantadas, fraude de compromiso de correo electr\u00f3nico comercial (BEC) y abuso de buz\u00f3n\u201d, dijo la firma de seguridad empresarial.<\/p>\n Se dice que la campa\u00f1a lleg\u00f3 a su fin el 27 de diciembre de 2022, despu\u00e9s de que Proofpoint informara a Microsoft sobre el ataque el 20 de diciembre y las aplicaciones se deshabilitaran.<\/p>\n Los hallazgos demuestran la sofisticaci\u00f3n que se ha invertido en montar el ataque, sin mencionar eludir las protecciones de seguridad de Microsoft y abusar de la confianza que los usuarios depositan en los vendedores y proveedores de servicios empresariales.<\/p>\n Esta no es la primera vez que se utilizan aplicaciones OAuth falsas para atacar los servicios en la nube de Microsoft. En enero de 2022, Proofpoint detall\u00f3 otra actividad de amenaza denominada OiVaVoii<\/a> que se dirig\u00eda a ejecutivos de alto nivel para tomar el control de sus cuentas.<\/p>\n Luego, en septiembre de 2022, Microsoft revel\u00f3 que desmantel\u00f3 un ataque que hizo uso de aplicaciones OAuth no autorizadas implementadas en inquilinos de la nube comprometidos para finalmente tomar el control de los servidores de Exchange y distribuir spam.<\/p>\n <\/p>\n![\"Hackeo](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/02\/1675237895_582_Los-piratas-informaticos-abusaron-de-Microsoft-quotEditor-verificadoquot-Aplicaciones-OAuth.png\" "\\"Hackeo")
<\/div>\n