Microsoft es advertencia de campañas de ciberataques que abusan de servicios legítimos de alojamiento de archivos como SharePoint, OneDrive y Dropbox, ampliamente utilizados en entornos empresariales como táctica de evasión de defensa.
El objetivo final de las campañas es amplio y variado, permitiendo a actores maliciosos comprometer identidades y dispositivos y realizar ataques de compromiso de correo electrónico empresarial (BEC), que en última instancia resultan en fraude financiero, exfiltración de datos y movimiento lateral a otros puntos finales.
La utilización de servicios legítimos de Internet (LIS) como armas es un vector de riesgo cada vez más popular adoptado por los adversarios para mezclarse con el tráfico de red legítimo de tal manera que a menudo elude las defensas de seguridad tradicionales y complica los esfuerzos de atribución de seguridad.
Este enfoque también se denomina LOTS (living-off-trusted-sites) porque aprovecha la confianza y la familiaridad de estos servicios para sortear las barreras de seguridad del correo electrónico y distribuir malware.
Microsoft dijo que ha observado una nueva tendencia en campañas de phishing que explotan servicios legítimos de alojamiento de archivos desde mediados de abril de 2024, involucrando archivos con acceso restringido y restricciones de solo visualización.
Estos ataques a menudo comienzan comprometiendo a un usuario dentro de un proveedor confiable, explotando el acceso para almacenar archivos maliciosos y cargas útiles en el servicio de alojamiento de archivos para compartirlos posteriormente con una entidad objetivo.
«Los archivos enviados a través de correos electrónicos de phishing están configurados para que sólo el destinatario designado pueda acceder a ellos», dice. «Esto requiere que el destinatario inicie sesión en el servicio para compartir archivos, ya sea Dropbox, OneDrive o SharePoint, o que se vuelva a autenticar ingresando su dirección de correo electrónico junto con una contraseña de un solo uso (OTP) recibida a través de un servicio de notificación.
Además, los archivos compartidos en ataques de phishing se configuran en modo «solo visualización», lo que impide la descarga y la detección de URL incrustadas en el archivo.
Al destinatario que intenta acceder al archivo compartido se le solicita que verifique su identidad proporcionando su dirección de correo electrónico y una contraseña de un solo uso enviada a su cuenta de correo electrónico.
Después de una autorización exitosa, se le pide al objetivo que haga clic en otro enlace para ver el contenido real. Sin embargo, esto los redirige a una página de phishing de adversario en el medio (AitM) que roba su contraseña y tokens de autenticación de dos factores (2FA).
Esto no sólo permite que los delincuentes tomen el control de la cuenta, sino que también la utilicen para perpetuar otras estafas, incluidos ataques BEC y fraudes financieros.
«Si bien estas campañas son de naturaleza genérica y oportunista, implican técnicas sofisticadas para realizar ingeniería social, evadir la detección y extender el alcance de los malos actores a otras cuentas e inquilinos», dijo el equipo de Microsoft Threat Intelligence.
Este desarrollo se produce cuando Sekoia detalló un nuevo kit de phishing AitM llamado Mamba 2FA, vendido bajo el nombre de phishing-as-a-service (PhaaS) a otros malos actores para llevar a cabo acciones maliciosas. campañas de phishing por correo electrónico que difunden archivos adjuntos HTML que imitan las páginas de inicio de sesión de Microsoft 365.
El kit, que se ofrece mediante suscripción por 250 dólares al mes, es compatible con Microsoft Entra ID, AD FS, proveedores de SSO externos y cuentas de consumidores. Mamba 2FA se utiliza activamente desde noviembre de 2023.
«Maneja verificaciones de dos pasos para métodos MFA no resistentes al phishing, como códigos de un solo uso y notificaciones de aplicaciones», dijo la empresa francesa de ciberseguridad. «Las credenciales y cookies robadas se envían instantáneamente al atacante a través de un bot de Telegram».