Microsoft ha alertado sobre un ataque de múltiples etapas que abusa de servicios legítimos de SharePoint para robar credenciales, comprometer cuentas y lanzar cientos de correos fraudulentos desde identidades confiables.
Microsoft ha detectado una nueva y compleja campaña de phishing dirigida a empresas del sector energético, en la que ciberdelincuentes están utilizando servicios legítimos de Microsoft SharePoint como plataforma para captar víctimas, robar credenciales de acceso y, posteriormente, comprometer cuentas de correo para expandir el ataque.
Según el Microsoft Defender Security Research Team, la operación maliciosa combina técnicas de Adversary-in-the-Middle (AiTM) phishing con compromiso de correo empresarial (BEC), estructuradas en múltiples fases para evadir las defensas tradicionales y maximizar el impacto.
De acuerdo al reporte, el ataque comienza con un correo aparentemente legítimo enviado desde una dirección que pertenece a una organización confiable -posiblemente previamente comprometida- con un asunto diseñado para parecer parte de un flujo de trabajo normal de SharePoint. Ese mensaje incluye un enlace a un supuesto documento compartido alojado en SharePoint. Usuarios desprevenidos que hacen clic en ese enlace son redirigidos a una página fraudulenta donde se les solicita ingresar sus credenciales de Microsoft.
Una vez que las credenciales son capturadas, los atacantes pueden iniciar sesión en la cuenta desde una dirección IP diferente para luego establecer reglas en la bandeja de entrada para eliminar mensajes entrantes y marcar correos como leídos, con el fin de ocultar su actividad al propietario de la cuenta.
Con el control de la cuenta, los atacantes aprovechan las relaciones de correo existentes para enviar más de 600 correos de phishing a contactos internos y externos de la víctima, usando otra URL maliciosa para continuar el ciclo de robo de credenciales. Durante este proceso, los invasores incluso gestionan las respuestas de los destinatarios que cuestionan la legitimidad de los correos, eliminándolas para mantener la apariencia de normalidad.
Microsoft describe esta táctica como una forma de abuso de servicios de confianza (living-off-trusted-sites), donde plataformas como SharePoint se utilizan como vehículo para distribuir enlaces y cargas maliciosas sin activar los filtros tradicionales de seguridad basados en correo electrónico.
La empresa subraya que restablecer solo las contraseñas no es suficiente para mitigar este tipo de ataques. Los equipos de seguridad informática deben revocar sesiones activas, eliminar reglas maliciosas creadas por los atacantes y asegurar que no se han alterado las configuraciones de autenticación multifactor (MFA). Además, Microsoft recomienda implementar políticas de acceso condicional, evaluación continua de accesos y soluciones anti-phishing que supervisen tanto los correos entrantes como los enlaces visitados por los usuarios.
La campaña también enfatiza la importancia de la autenticación resistente a phishing, que incluye opciones como la autenticación sin contraseña y mecanismos que no se basan únicamente en códigos o notificaciones tradicionales, dado que técnicas avanzadas como AiTM pueden interceptar identificadores de sesión reales.
Aunque Microsoft no ha especificado cuántas organizaciones del sector energético han sido afectadas ni si existe un grupo cibercriminal identificado detrás de la operación, la alerta busca alertar a la comunidad sobre los sofisticados ataques que intenta explotar la confianza que las empresas depositan en plataformas en la nube ampliamente utilizadas.