Los ciberdelincuentes han descubierto un nuevo vector de ataque sofisticado al explotar la función de envío directo de Microsoft 365 para ofrecer campañas de phishing que se disfrazan de comunicaciones internas legítimas.
Esta amenaza emergente aprovecha un servicio legítimo de Microsoft diseñado para impresoras multifunción y aplicaciones heredadas, convirtiéndolo en un arma para ataques de ingeniería social que evitan los controles de seguridad de correo electrónico tradicionales.
La campaña de ataque representa una evolución significativa en las tácticas de phishing, ya que los actores de amenaza ahora pueden enviar correos electrónicos maliciosos que parecen originarse dentro de la organización objetivo sin requerir credenciales o autenticación válidas.
Al explotar el modelo de confianza inherente de Direct Send, los atacantes logran una credibilidad sin precedentes en sus intentos de phishing, lo que hace que la detección y la prevención sean considerablemente más desafiantes para los equipos de seguridad.
Investigadores de prueba identificado Esta campaña activa dirigida a los inquilinos de Microsoft 365 a través de una infraestructura compleja que involucra dispositivos de seguridad de correo electrónico de terceros no garantizados y activos de servidor privado virtual.
La operación sofisticada demuestra cómo los ciberdelincuentes continúan armando los servicios legítimos en la nube para evadir la detección y aumentar la tasa de éxito de sus campañas de ingeniería social.
Infraestructura de ataque técnico y flujo de inyección de mensajes
El mecanismo de ataque sigue un proceso de cuatro pasos cuidadosamente orquestado que explota múltiples capas de infraestructura de correo electrónico.
Inicialmente, los atacantes establecen conexiones a hosts virtuales que ejecutan Windows Server 2022 a través del protocolo de escritorio remoto en el puerto 3389, proporcionándoles un entorno legítimo de Windows para sus operaciones.
Flujo de ataque (fuente – punto de prueba)
A partir de estos hosts comprometidos, inician conexiones SMTP a dispositivos de seguridad de correo electrónico de terceros no garantizados organizados por proveedores regionales de infraestructura como servicio.
Estos electrodomésticos comprometidos sirven como relés SMTP, con certificados SSL Digicert válidos y compatible con el inicio de sesión simple de autenticación con el cifrado StartTLS.
Sin embargo, los electrodomésticos exponen los puertos vulnerables 8008, 8010 y 8015 con certificados vencidos o autofirmados, creando brechas de seguridad que los atacantes explotan.
Los mensajes maliciosos se transmiten a través de estos electrodomésticos directamente a los inquilinos de Microsoft 365, donde se entregan mediante envío directo utilizando direcciones de remitente internas falsificadas.
Las organizaciones pueden implementar la protección inmediata ejecutando el comando PowerShell Set -OrganizationConfig -rejectDirectsend $ verdadero para deshabilitar la funcionalidad de envío directo.
Además, la monitorización de los encabezados de mensajes para fallas de autenticación compuesta marcadas como Compauth = Fail puede ayudar a identificar estos sofisticados intentos de falsificación antes de llegar a los usuarios finales.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
