Se detectó una campaña de phishing a gran escala que utiliza técnicas Adversary in the Middle (AitM) para eludir las protecciones de seguridad. El objetivo es comprometer cuentas de correo corporativas y lograr explotarlas. Los investigadores de Zscaler detectaron la campaña dirigida a cuentas corporativas que utilizan los servicios de correo electrónico de Microsoft. ¿Cómo […]
Se detectó una campaña de phishing a gran escala que utiliza técnicas Adversary in the Middle (AitM) para eludir las protecciones de seguridad. El objetivo es comprometer cuentas de correo corporativas y lograr explotarlas.
Los investigadores de Zscaler detectaron la campaña dirigida a cuentas corporativas que utilizan los servicios de correo electrónico de Microsoft.
¿Cómo funciona este ataque?
El ataque comienza con el uso de un correo electrónico con temáticas referentes a una factura, el cual se envía a los objetivos que contienen un archivo adjunto HTML, que incluye una URL de phishing agregada.
Al abrir el archivo adjunto en el navegador, redirige a la víctima a la página de phishing, la cual contiene un inicio de sesión falso para Office.
Además, los atacantes utilizan diferentes métodos, como abrir páginas de redireccionamiento alojadas en Google Ads y Snapchat, para cargar la URL de la página de phishing en lugar de la URL maliciosa directamente en el correo electrónico.
En concreto, gracias a este ataque los actores maliciosos pueden sustraer contraseñas, obtener información de inicio de sesión y puede saltarse el proceso de autenticación incluso si el usuario tiene activado el multifactor de autenticación (MFA).
Tiempo de operación
La campaña está en acción desde junio, y ya ha apuntado a múltiples víctimas. La técnica de AitM ayuda a los delincuentes a obtener credenciales de posibles víctimas, incluso en los casos en que MFA está habilitado.
Los objetivos destacados pertenecen a organizaciones financieras, seguros, manufactura, fintech, energía, entre otros.
En una investigación, se detectó al atacante iniciando sesión dentro de la cuenta después de ocho minutos de robo de credenciales, sospechando que fue a través de un inicio de sesión manual. Después de eso, leyeron los correos electrónicos y verificaron los detalles del perfil del usuario.
En algunos casos, las bandejas de entrada de correo electrónico pirateadas de las empresas se utilizan para enviar correos electrónicos de phishing adicionales, como parte de la misma campaña.
Las diferentes versiones de las campañas observadas han utilizado un tipo común de kit de phishing como infraestructura AitM conocido como Evilginx2.
Además, se utilizan servicios de edición de código en línea genuinos identificados como Glitch y CodeSandbox para aumentar la vida útil de la campaña.
Mediante el uso de tácticas avanzadas como AitM y modernos y sofisticados kits de phishing, los atacantes pueden eludir las soluciones de seguridad. Este ataque proporciona un buen ejemplo de por qué MFA por sí solo no es suficiente y enfatiza la necesidad de múltiples capas de seguridad para una protección sólida.
