Los investigadores de ciberseguridad han descubierto una sofisticada campaña de phishing de lanza que armada la función de envío directo de Microsoft 365 para evitar las defensas de seguridad de correo electrónico tradicionales y realizar ataques de robo de credenciales hiperpersonalizados.
La campaña demuestra una evolución alarmante en la sofisticación de ataque, combinando la explotación técnica de los servicios legítimos de Microsoft con técnicas avanzadas de ingeniería social diseñadas para desarmar incluso a profesionales de seguridad experimentados.
El ataque aprovecha la funcionalidad de envío directo de Microsoft 365 para eludir los mecanismos estándar de autenticación de correo electrónico, incluidos los controles SPF, DKIM y DMARC.
Al enrutar correos electrónicos maliciosos a través de la propia infraestructura de anfitrión inteligente de las víctimas, los atacantes disfrazan con éxito sus comunicaciones como tráfico interno de confianza al no fallar los protocolos de autenticación básicos.
Esta explotación permite a los actores de amenaza entregar cargas útiles maliciosas que generalmente serían bloqueadas por soluciones de seguridad de correo electrónico convencionales.
Lo que hace que esta campaña sea particularmente peligrosa es su enfoque de doble vector y sus capacidades de personalización extrema.
Analistas de Strongestlayer identificado El ataque después de su sistema Trace AI detectó anomalías de autenticación sospechosas y patrones de comportamiento inconsistentes con las comunicaciones legítimas.
Los investigadores descubrieron que los atacantes estaban usando señuelos basados en imágenes para evadir los filtros de seguridad basados en texto, al tiempo que implementaban dos tipos de carga útil distintos diseñados para el máximo impacto y sigilo.
La campaña emplea un sofisticado mecanismo de infección en varias etapas que comienza con notificaciones de correo de voz aparentemente inocuos de servicios de confianza como RingCentral.
Estos correos electrónicos no contienen texto analizable para escáneres tradicionales, sino que utilizan imágenes en línea de alta fidelidad que imitan perfectamente las notificaciones de servicio legítimas.
Mensaje malicioso (fuente – Stofestly)
El componente de ingeniería social crea urgencia al incitar a los usuarios a abrir archivos adjuntos para escuchar mensajes de voz supuestamente importantes.
Implementación técnica y análisis de carga útil
La sofisticación técnica del ataque se hace evidente a través de su sistema de entrega de doble pago. El vector principal utiliza archivos HTML maliciosos disfrazados de reproductores de audio, implementando una técnica de ofuscación de tres etapas.
Flujo de ataque (fuente – Stongestlayer)
La estructura de carga útil emplea una etiqueta de imagen no válida que desencadena un evento OnError, que luego base64 decodifica y ejecuta JavaScript oculto:–
El vector secundario emplea archivos SVG maliciosos que explotan el hecho de que muchos filtros de seguridad tratan los archivos SVG como imágenes seguras en lugar de contenido potencialmente ejecutable.
Estos archivos contienen JavaScript integrado con capas de codificación personalizadas adicionales diseñadas para derrotar a los sistemas de análisis automatizados. El aspecto más preocupante de esta campaña es su capacidad de personalización dinámica.
El JavaScript malicioso no representa páginas de inicio de sesión genéricas, sino que obtiene dinámicamente logotipos corporativos y la marca específica para la organización de cada víctima, creando páginas de recolección de credenciales de aspecto perfectamente legítimo que desarman efectivamente la sospecha del usuario a través de elementos visuales familiares.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
