Investigadores advierten sobre ataques AitM a gran escala dirigidos a usuarios empresariales
Investigadores de seguridad cibernética advierten sobre ataques AitM a gran escala dirigidos a usuarios empresariales
Se ha observado una nueva campaña de phishing a gran escala que utiliza técnicas de adversario en le medio (AitM) para eludir las protecciones de seguridad y comprometer las cuentas de correo electrónico de empresas.
Los objetivos destacados incluyen fintech, préstamos, seguros, energía, fabricación y coopertivas de ahorro y crédito federales ubicadas en Estados Unidos, Reino Unido, Nueva Zelanda y Australia.
Esta no es la primera vez que un ataque de phishing de este tipo sale a la luz. El mes pasado, Microsoft reveló que, desde septiembre de 2021, más de 10,000 organizaciones fueron afectadas mediante técnicas AitM para violar cuentas protegidas con autenticación multifactor (MFA).
La campaña en curso, a partir de junio de 2022, comienza con un correo electrónico con el tema de una factura enviado a los objetivos que contiene un archivo adjunto HTML, que incluye una URL de phishing incrustada.
Al abrir el archivo adjunto por medio de un navegador web, se redirige al destinatario del correo electrónico a la página de phishing que se hace pasar por una página de inicio de sesión de Microsoft Office, pero no antes de tomar las huellas digitales de la máquina comprometida para determinar si la víctima es realmente el objetivo previsto.
Lo que destaca aquí es el uso de distintos métodos, contando las páginas de redirección abiertas alojadas por Google Ads y Snapchat, para cargar la URL de la página de phishing en lugar de incrustar la URL maliciosa directamente en el correo electrónico.
Los ataques de phishing de AitM van más allá de los enfoques de phishing tradicionales diseñados para saquear las credenciales de usuarios involuntarios, particularmente en escenarios donde MFA está habilitado, una barrera de seguridad que evita que el atacante inicie sesión en la cuenta solo con las credenciales robadas.
Para eludir esto, la página de inicio no autorizada desarrollada utilizando un kit de phishing funciona como un proxy que captura y transmite toda la comunicación entre el cliente (es decir, la víctima) y el servidor de correo electrónico.
Esto también implica reemplazar todos los enlaces a los dominios de Microsoft con enlaces equivalentes al dominio de phishing para garantizar que el ida y vuelta permanezca intacto con el sitio web fraudulento durante toda la sesión.
Zscaler dijo que observó que el atacante iniciaba sesión manualmente en la cuenta ocho minutos después del robo de credenciales, seguía leyendo correos electrónicos y verificando la información del perfil del usuario.
Además, en algunos casos, las bandejas de entrada de correo electrónico pirateadas se utilizan posteriormente para enviar correos electrónicos de phishing adicionales como parte de la misma campaña para realizar estafas de compromiso de correo electrónico comercial (BEC).