Un nuevo CyberAttack está dirigido a usuarios de Microsoft 365 a través de mensajes de señalización y WhatsApp, con hackers que se hacen pasar por funcionarios gubernamentales para obtener acceso a las cuentas.
Según los informes de Bleeping Computer, los malos actores, que se cree que son rusos que pretenden ser funcionarios políticos o diplomáticos europeos, se comunican con empleados de organizaciones que trabajan en temas relacionados con Ucrania y los derechos humanos. El objetivo final es engañar a los objetivos para hacer clic en un enlace de phishing OAuth que los lleva a autenticar sus credenciales de Microsoft 365.
Esta estafa, descubierta por primera vez por la firma de ciberseguridad Volexity, se ha centrado específicamente en organizaciones relacionadas con Ucrania, pero un enfoque similar podría usarse más ampliamente para robar datos de usuarios o hacerse cargo de los dispositivos.
Cómo funciona el ataque Microsoft 365 OAuth
Este ataque generalmente comienza con objetivos que reciben un mensaje a través de Signal o WhatsApp de un usuario que se hace pasar por un funcionario político o diplomático con una invitación a una videollamada o conferencia para discutir temas relacionados con Ucrania.
Según Volexity, los atacantes pueden afirmar ser de la misión de Ucrania a la Unión Europea, la delegación permanente de la República de Bulgaria a la OTAN, o la representación permanente de Rumania a la Unión Europea. En una variación, la campaña comienza con un correo electrónico enviado desde una cuenta del gobierno ucraniana pirateada seguida de comunicación a través de Signal y WhatsApp.
Una vez que se establece un hilo, los malos actores envían instrucciones en PDF de las víctimas junto con una URL de phishing Oauth. Cuando se hace clic, se le solicita al usuario que inicie sesión en aplicaciones de Microsoft y de terceros que utilizan Microsoft 365 OAuth y redirigidas a una página de destino con un código de autenticación, que se les dice que compartan para ingresar a la reunión. Este código, que es válido durante 60 días, brinda a los atacantes acceso a correo electrónico y otros recursos de Microsoft 365, incluso si las víctimas cambian sus contraseñas.
¿Qué piensas hasta ahora?
Cómo detectar el ataque Microsoft 365 Oauth
Este ataque es una de varias amenazas recientes que abusan de la autenticación OAuth, lo que puede dificultar la identificación de identificar como sospechoso, al menos desde un punto de vista técnico. Volexity recomienda establecer políticas de acceso condicional en cuentas de Microsoft 365 solo a dispositivos aprobados, así como al habilitar alertas de inicio de sesión.
Los usuarios también deben tener cuidado con las tácticas de ingeniería social que juegan en psicología humana para llevar a cabo con éxito el phishing y otros tipos de ataques cibernéticos. Los ejemplos incluyen mensajes que son inusuales o fuera de lugar, especialmente para un remitente que conoce o confíe, comunicación que provoca una respuesta emocional (como el miedo o la curiosidad), y las solicitudes que son urgentes u ofertas que son demasiado buenas para ser verdad.
Un explicador de ingeniería social de CSO aconseja una “mentalidad de confianza cero”, además de vigilar los signos comunes como los errores e instrucciones de gramática y ortografía para hacer clic en enlaces o abrir archivos adjuntos. Las capturas de pantalla de los mensajes de señal y WhatsApp compartidos por Volexity muestran pequeños errores que los regalan como potencialmente fraudulentos.
