El Equipo de Investigación de Microsoft 365 Defender, del Centro de Inteligencia de Amenazas de Microsoft (MSTIC), ha alertado sobre una campaña de phishing a gran escala, dirigida a más de 10 mil organizaciones desde septiembre de 2021, para el robo de credenciales y cookies de sesión.
Los atacantes usaron sitios de phishing de adversario en el medio (AiTM), secuestrando la sesión de inicio de sesión del usuario con omisión inclusive del proceso de autenticación en cuentas con autenticación multifactor (MFA).
Las credenciales y las cookies de sesión robadas fueron utilizadas por los ciberdelincuentes para acceder a los buzones de correo de los usuarios afectados y dar seguimiento a campañas de compromiso de correo electrónico comercial (BEC) contra otros objetivos.
En el phishing AiTM, los atacantes implementan un servidor proxy entre un usuario objetivo y el sitio web que el usuario desea visitar (es decir, el sitio que el atacante desea suplantar). Tal configuración le permite al atacante robar e interceptar la contraseña del objetivo y la cookie de sesión que prueba su sesión en curso y autenticada con el sitio web.
Considerar que esto no es una vulnerabilidad en MFA, ya que el phishing de AiTM roba la cookie de sesión, el atacante se autentica en una sesión en nombre del usuario, independientemente del método de inicio de sesión que utilice el usuario. Si bien el phishing AiTM intenta eludir la MFA, la implementación de la MFA sigue siendo un pilar esencial en la seguridad de la identidad.
El ataque con AiTM fue dirigido a usuarios de Office 365, utilizando el kit de phishing Evilginx2 y falsificando la página de autenticación en línea de Office.
El Equipo de Investigación de Microsoft 365 Defender, del Centro de Inteligencia de Amenazas de Microsoft (MSTIC), recomienda complementar MFA con las siguientes soluciones y mejores prácticas para proteger aún más a las organizaciones de este tipo de ataques:
- Habilitar las políticas de acceso condicional. Las políticas de acceso condicional se evalúan y aplican cada vez que un atacante intenta utilizar una cookie de sesión robada. Las organizaciones pueden protegerse de los ataques que aprovechan las credenciales robadas al habilitar políticas como dispositivos compatibles o requisitos de direcciones IP confiables.
- Invertir en soluciones antiphishing avanzadas que supervisen y analicen los correos electrónicos entrantes y los sitios web visitados.
- Supervisar continuamente las actividades sospechosas o anómalas. Buscar intentos de inicio de sesión con características sospechosas (por ejemplo, ubicación, ISP, agente de usuario, uso de servicios de anonimización). Buscar actividades inusuales en el buzón, como la creación de reglas de la bandeja de entrada con fines sospechosos o cantidades inusuales de eventos de acceso a elementos de correo por parte de dispositivos o direcciones IP que no sean de confianza.