Ciberseguridad 360 | Microsoft descubre ataques de phishing y BEC dirigidos a gigantes financieros

AitM Phishing and BEC Attacks

Microsoft ha revelado que las organizaciones bancarias y de servicios financieros son el objetivo de un nuevo ataque de phishing y BEC (business email compromise) en varias fases, perpetrado por un adversario en el medio (AiTM).

"El ataque se origin� a partir de un proveedor de confianza comprometido y se transform� en una serie de ataques AiTM y actividad BEC de seguimiento que abarca m�ltiples organizaciones", revel� el gigante tecnol�gico en un informe el jueves.

Microsoft, que est� rastreando el cl�ster bajo el nombre emergente de Storm-1167, se�al� que el grupo utiliz� un proxy indirecto para llevar a cabo el ataque.

Esto permiti� a los atacantes adaptar con flexibilidad las p�ginas de phishing a sus objetivos y llevar a cabo el robo de cookies de sesi�n, lo que subraya la continua sofisticaci�n de los ataques AitM.

El modus operandi es distinto al de otras campa�as de AitM en las que las p�ginas se�uelo act�an como proxy inverso para recopilar credenciales y contrase�as de un solo uso (TOTP) introducidas por las v�ctimas.

"El atacante presentaba a los objetivos un sitio web que imitaba la p�gina de inicio de sesi�n de la aplicaci�n objetivo, como en los ataques de phishing tradicionales, alojada en un servicio en la nube", dijo Microsoft.

"Dicha p�gina de inicio de sesi�n conten�a recursos cargados desde un servidor controlado por el atacante, que iniciaba una sesi�n de autenticaci�n con el proveedor de autenticaci�n de la aplicaci�n objetivo utilizando las credenciales de la v�ctima".

Las cadenas de ataque comienzan con un correo electr�nico de phishing que apunta a un enlace que, al ser pulsado, redirige a la v�ctima a visitar una p�gina de inicio de sesi�n de Microsoft falsificada y a introducir sus credenciales y TOTPs.

Las contrase�as y cookies de sesi�n recopiladas se utilizan entonces para suplantar al usuario y obtener acceso no autorizado a la bandeja de entrada del correo electr�nico mediante un ataque de repetici�n. A continuaci�n, se abusa del acceso para hacerse con correos electr�nicos confidenciales y orquestar un ataque BEC.

AitM Phishing and BEC Attacks

Adem�s, se a�ade a la cuenta de destino un nuevo m�todo de autenticaci�n de dos factores basado en SMS para iniciar sesi�n con las credenciales robadas sin llamar la atenci�n.

En el incidente analizado por Microsoft, el atacante habr�a iniciado una campa�a de spam masivo, enviando m�s de 16.000 correos electr�nicos a los contactos del usuario comprometido, tanto dentro como fuera de la organizaci�n, as� como a listas de distribuci�n.

Tambi�n se ha observado al adversario tomar medidas para minimizar la detecci�n y establecer la persistencia, respondiendo a los correos electr�nicos entrantes y tomando posteriormente medidas para eliminarlos del buz�n.

En �ltima instancia, los destinatarios de los correos electr�nicos de phishing son el objetivo de un segundo ataque AitM para robar sus credenciales y desencadenar otra campa�a de phishing desde la bandeja de entrada de correo electr�nico de uno de los usuarios cuya cuenta fue pirateada como resultado del ataque AitM.

"Este ataque muestra la complejidad de las amenazas AiTM y BEC, que abusan de las relaciones de confianza entre vendedores, proveedores y otras organizaciones asociadas con la intenci�n de cometer fraude financiero", a�adi� la compa��a.

Este hecho se produce menos de un mes despu�s de que Microsoft advirtiera del aumento de los ataques BEC y de la evoluci�n de las t�cticas empleadas por los ciberdelincuentes, incluido el uso de plataformas, como BulletProftLink, para crear campa�as de correo malicioso a escala industrial.

Seg�n el gigante tecnol�gico, otra t�ctica consiste en utilizar direcciones IP residenciales para que las campa�as de ataque parezcan generadas localmente.

"Los actores de amenazas BEC compran entonces direcciones IP de servicios IP residenciales que coinciden con la ubicaci�n de la v�ctima, creando proxies IP residenciales que permiten a los ciberdelincuentes enmascarar su origen", explic� Redmond.

"Ahora, armados con un espacio de direcciones localizado para apoyar sus actividades maliciosas, adem�s de nombres de usuario y contrase�as, los atacantes BEC pueden ocultar movimientos, eludir las banderas de "viaje imposible" y abrir una puerta de enlace para llevar a cabo m�s ataques."

Fuente: thehackernews