Microsoft reveló una campaña de phishing en múltiples fases que utilizó credenciales robadas para registrar dispositivos no autorizados en redes corporativas y distribuir nuevos correos maliciosos desde cuentas legítimas. La actividad afectó principalmente a organizaciones de Asia-Pacífico sin autenticación multifactor habilitada.
El Microsoft Defender Security Research Team y el Microsoft Threat Intelligence, publicaron este lunes 4 de mayo en el blog de seguridad de la compañía, información detallada sobre una campaña de phishing en múltiples etapas que permitió a atacantes comprometer cuentas corporativas, registrar dispositivos no autorizados en entornos empresariales y distribuir correos maliciosos desde infraestructura legítima de las organizaciones afectadas.
Según el informe, los ataques se dirigieron principalmente a empresas ubicadas en Australia, Singapur, Indonesia y Tailandia. Los actores enviaron correos electrónicos temáticos de DocuSign que solicitaban revisar y firmar documentos. Los enlaces incluidos redirigían a páginas falsas que imitaban el inicio de sesión de Office 365 y mostraban automáticamente el nombre de usuario de la víctima para aumentar la credibilidad del engaño.
Microsoft indicó que la campaña afectó únicamente a cuentas que no contaban con autenticación multifactor (MFA). Tras obtener las credenciales, los atacantes iniciaban sesión desde dispositivos Windows 10 utilizando Outlook, lo que provocaba el registro automático del equipo en Azure Active Directory de la organización comprometida.
La compañía explicó que los atacantes implementaron reglas maliciosas en los buzones comprometidos para ocultar alertas internas y mensajes relacionados con seguridad. En el reporte técnico, Microsoft señaló que “utilizando la conexión Remote PowerShell, el atacante implementó una regla de bandeja de entrada mediante el cmdlet New-InboxRule que eliminaba determinados mensajes basados en palabras clave en el asunto o cuerpo del correo electrónico”.
La investigación identificó más de cien buzones comprometidos en distintas organizaciones. Los atacantes crearon reglas denominadas “Spam Filter” para eliminar reportes de fallos de entrega y notificaciones enviadas por equipos de TI. Microsoft agregó que “la regla de bandeja de entrada permitió a los atacantes evitar despertar sospechas de los usuarios comprometidos eliminando reportes de no entrega y correos de notificación de TI”.
Una vez registrado el dispositivo no autorizado en Azure AD, los actores enviaron nuevos mensajes de phishing tanto a empleados internos como a proveedores, contratistas y socios externos. Los correos eran enviados desde cuentas legítimas de la organización afectada, lo que dificultaba su detección por soluciones de seguridad convencionales.
La segunda etapa de la operación incluyó más de 8.500 correos electrónicos temáticos de SharePoint con archivos adjuntos denominados “Payment.pdf”. Microsoft señaló que el registro de dispositivos no autorizados generaba marcas de autenticación en Azure AD que podían servir como indicadores tempranos de actividad sospechosa para los equipos defensivos.
La compañía recomendó habilitar MFA en todas las cuentas de Office 365, supervisar el registro de dispositivos en Azure AD y utilizar soluciones de protección capaces de detectar la creación anómala de reglas de bandeja de entrada. También sugirió exigir MFA para procesos de enrolamiento de dispositivos y aplicar políticas de confianza cero en redes corporativas.