Ciberseguridad 360 | Tycoon Kit vulnera Microsoft 365

Los investigadores en ciberseguridad han detallado un nuevo grupo de actividades en las que los autores de amenazas se hacen pasar por empresas con aplicaciones OAuth falsas de Microsoft para facilitar la recopilaci�n de credenciales como parte de ataques de apropiaci�n de cuentas.

"Las aplicaciones falsas de Microsoft 365 suplantan a varias empresas, entre ellas RingCentral, SharePoint, Adobe y Docusign", afirm� Proofpoint en un informe publicado el jueves.

La campa�a en curso, detectada por primera vez a principios de 2025, est� dise�ada para utilizar las aplicaciones OAuth como puerta de entrada para obtener acceso no autorizado a las cuentas de Microsoft 365 de los usuarios mediante kits de phishing como Tycoon y ODx, que son capaces de llevar a cabo phishing de autenticaci�n multifactorial (MFA).

La empresa de seguridad empresarial afirm� que observ� que este m�todo se utilizaba en campa�as de correo electr�nico con m�s de 50 aplicaciones suplantadas.

Los ataques comienzan con correos electr�nicos de phishing enviados desde cuentas comprometidas y tienen como objetivo enga�ar a los destinatarios para que hagan clic en direcciones URL con el pretexto de compartir solicitudes de presupuesto (RFQ) o acuerdos contractuales comerciales.

Al hacer clic en estos enlaces, la v�ctima es redirigida a una p�gina de Microsoft OAuth para una aplicaci�n llamada "iLSMART" que le pide que le conceda permisos para ver su perfil b�sico y mantener el acceso continuo a los datos a los que se le ha concedido acceso.

Lo que hace que este ataque sea notable es la suplantaci�n de identidad de ILSMart, un mercado online leg�timo para las industrias aeron�utica, naval y de defensa en el que se compran y venden piezas y servicios de reparaci�n.

"Los permisos de las aplicaciones proporcionar�an un uso limitado al atacante, pero se utilizan para preparar la siguiente fase del ataque", afirma Proofpoint.

Independientemente de si el objetivo acept� o rechaz� los permisos solicitados, primero se le redirige a una p�gina CAPTCHA y, una vez completada la verificaci�n, a una p�gina falsa de autenticaci�n de cuenta de Microsoft.

Esta p�gina falsa de Microsoft utiliza t�cnicas de phishing de tipo "adversario en el medio" (AitM) impulsadas por la plataforma Tycoon Phishing-as-a-Service (PhaaS) para recopilar las credenciales y los c�digos MFA de la v�ctima.

Tan solo el mes pasado, Proofpoint afirm� haber detectado otra campa�a que suplantaba a Adobe, en la que los correos electr�nicos se enviaban a trav�s de Twilio SendGrid, una plataforma de marketing por correo electr�nico, y estaban dise�ados con el mismo objetivo: obtener la autorizaci�n del usuario o activar un flujo de cancelaci�n que redirigiera a la v�ctima a una p�gina de phishing.

La campa�a representa solo una gota en el oc�ano en comparaci�n con la actividad general relacionada con Tycoon, con m�ltiples grupos que aprovechan el kit de herramientas para llevar a cabo ataques de apropiaci�n de cuentas. Solo en 2025, se han observado intentos de compromiso de cuentas que afectan a casi 3000 cuentas de usuario en m�s de 900 entornos de Microsoft 365.

"Los actores maliciosos est�n creando cadenas de ataque cada vez m�s innovadoras en un intento de eludir las detecciones y obtener acceso a organizaciones de todo el mundo", afirm� la empresa, a�adiendo que "prev� que los actores maliciosos se centrar�n cada vez m�s en la identidad de los usuarios, y que el phishing de credenciales AiTM se convertir� en el est�ndar de la industria criminal".

El mes pasado, Microsoft anunci� sus planes de actualizar la configuraci�n predeterminada para mejorar la seguridad mediante el bloqueo de los protocolos de autenticaci�n heredados y la exigencia del consentimiento del administrador para el acceso de aplicaciones de terceros. Se espera que las actualizaciones est�n completadas para agosto de 2025.

"Esta actualizaci�n tendr� un impacto positivo en el panorama general y paralizar� a los actores maliciosos que utilizan esta t�cnica", se�al� Proofpoint.

La revelaci�n se produce tras la decisi�n de Microsoft de desactivar de forma predeterminada los enlaces externos a libros de trabajo con tipos de archivos bloqueados entre octubre de 2025 y julio de 2026, en un intento por mejorar la seguridad de los libros de trabajo.

Los hallazgos tambi�n se producen cuando se utilizan correos electr�nicos de spear-phishing con supuestos recibos de pago para desplegar, mediante un inyector basado en AutoIt, un malware .NET llamado VIP Keylogger que puede robar datos confidenciales de hosts comprometidos, seg�n Seqrite.

Durante varios meses, se han detectado campa�as de spam que ocultan enlaces de instalaci�n de software de escritorio remoto dentro de archivos PDF con el fin de eludir las defensas contra el correo electr�nico y el malware. Se cree que la campa�a lleva en marcha desde noviembre de 2024 y que se dirige principalmente a entidades de Francia, Luxemburgo, B�lgica y Alemania.

"Estos archivos PDF suelen disfrazarse para que parezcan facturas, contratos o listados de propiedades con el fin de aumentar su credibilidad y atraer a las v�ctimas para que hagan clic en el enlace incrustado", afirma WithSecure. "Este dise�o ten�a como objetivo crear la ilusi�n de contenido leg�timo que ha sido ocultado, lo que incita a la v�ctima a instalar un programa. En este caso, el programa era FleetDeck RMM".

Otras herramientas de supervisi�n y gesti�n remota (RMM) desplegadas como parte del grupo de actividades incluyen Action1, OptiTune, Bluetrait, Syncro, SuperOps, Atera y ScreenConnect.

"Aunque no se han observado cargas �tiles posteriores a la infecci�n, el uso de herramientas RMM sugiere claramente su papel como vector de acceso inicial, lo que podr�a permitir actividades maliciosas adicionales", a�adi� la empresa finlandesa. "Los operadores de ransomware, en particular, han favorecido este enfoque".

Fuente: thehackernews.com