Microsoft advierte sobre hackers que están explotando OAuth para minería de criptomonedas y phishing
Microsoft advierte sobre hackers que están explotando OAuth para minería de criptomonedas y phishing
Microsoft advierte sobre hackers que están explotando OAuth para minería de criptomonedas y phishing
Microsoft ha alertado sobre el uso de aplicaciones OAuth por parte de adversarios como una herramienta automatizada para implementar máquinas virtuales (VM) con el propósito de realizar minería de criptomonedas y llevar a cabo ataques de phishing.
«Los actores de amenazas comprometen cuentas de usuario para crear, modificar y otorgar altos privilegios a aplicaciones OAuth que pueden mal utilizar para ocultar actividad maliciosa», dijo el equipo de inteligencia de amenazas de Microsoft en un análisis.
«El mal uso de OAuth también permite a los actores de amenazas mantener el acceso a aplicaciones incluso si pierden el acceso a la cuenta comprometida inicialmente».
OAuth, que es la abreviatura de Open Authorization, es un marco de autorización y delegación (en contraposición a la autenticación) que concede a las aplicaciones la capacidad de acceder de manera segura a información de otros sitios web sin revelar contraseñas.
En los ataques detallados por Microsoft, se observa que los actores de amenazas llevan a cabo ataques de phishing o de rociado de contraseñas contra cuentas débilmente protegidas que tienen permisos para crear o modificar aplicaciones OAuth.
Un ejemplo específico es Storm-1283, que utiliza una cuenta de usuario comprometida para crear una aplicación OAuth y desplegar VM para realizar minería de criptomonedas. Además, los atacantes modifican aplicaciones OAuth existentes a las que tiene acceso la cuenta, agregando un conjunto adicional de credenciales para facilitar los mismos objetivos.
En otro caso, un actor no identificado comprometió cuentas de usuario y creó aplicaciones OAuth para mantener la persistencia y lanzar ataques de phishing por correo electrónico. Estos ataques emplean un kit de phishing de adversario en el medio (AiTM) para obtener cookies de sesión de sus objetivos y eludir medidas de autenticación.
«En algunos casos, después de la actividad de repetición de cookies de sesión robadas, el actor aprovechó la cuenta de usuario comprometida para llevar a cabo reconocimiento de fraude financiero BEC abriendo archivos adjuntos de correo electrónico en la Aplicación web de Outlook de Microsoft (OWA) que contienen palabras clave específicas como ‘pago’ y ‘factura'», comentó Microsoft.
Otras situaciones detectadas por la empresa después del robo de cookies de sesión incluyen la creación de aplicaciones OAuth para distribuir correos electrónicos de phishing y llevar a cabo actividades masivas de spam. Microsoft está siguiendo esto como Storm-1286.
Para reducir los riesgos asociados con tales ataques, se aconseja que las organizaciones refuercen la autenticación multifactor (MFA), habiliten políticas de acceso condicional y realicen auditorías periódicas de aplicaciones y permisos otorgados.
