Los investigadores de seguridad de Microsoft han advertido de una campaña de phishing a gran escala que puede secuestrar las cuentas de usuario de Office 365 incluso cuando están protegidas con autenticación multifactor (MFA).

Esta campaña ha intentado atacar a más de 10.000 organizaciones desde septiembre de 2021, según los datos de amenazas de Microsoft.

Los investigadores señalan que los atacantes utilizan las credenciales robadas y las cookies de sesión para acceder al buzón de la víctima y realizar campañas de seguimiento contra otros objetivos.

En los últimos años, las organizaciones han reforzado sus prácticas de seguridad en forma de MFA ya que confiar en un solo factor, como una contraseña, puede ser débil por muchas razones .

Sin embargo, Microsoft dijo que esta campaña de ciberdelincuencia está logrando burlar la medida de seguridad a través del phishing del adversario en el medio (AiTM).

En estos casos, el atacante despliega un servidor proxy entre un usuario objetivo y el sitio web que el usuario desea visitar. Según Microsoft, esta suplantación de identidad permite al atacante robar tanto la contraseña del usuario durante una sesión de inicio de sesión como la cookie de sesión que demuestra su sesión en curso y autenticada con el sitio web.

Microsoft dijo que estas cookies de sesión permiten al atacante saltarse todo el proceso de autenticación. La empresa señaló que no se trata de una vulnerabilidad de MFA en sí misma.

«Como el phishing AiTM roba la cookie de sesión, el atacante se autentifica en una sesión en nombre del usuario, independientemente del método de inicio de sesión que éste utilice», dijo Microsoft en un blogpost.

En esta campaña de phishing, Microsoft descubrió que los atacantes se dirigían a los usuarios de Office 365 suplantando la página de autenticación en línea de Office. La compañía señaló que estos sitios proxy son difíciles de detectar, ya que la URL es la única diferencia visible entre el sitio de phishing y el real.

Una vez que los actores de la amenaza obtuvieron acceso, pudieron entrar en las cuentas de correo electrónico de los empleados y engañar a los objetivos para que enviaran grandes sumas de dinero, que las víctimas creen que se envían a compañeros de trabajo o socios comerciales.

Para evitar ser detectados, los atacantes también configuraban reglas de la bandeja de entrada para que ciertos correos electrónicos se movieran automáticamente a una carpeta de archivo y se marcaran como leídos. También eliminaban sus propios correos electrónicos de la carpeta de elementos enviados.

«En una ocasión, el atacante realizó múltiples intentos de fraude simultáneamente desde el mismo buzón de correo comprometido», dijo Microsoft. «Cada vez que el atacante encontraba un nuevo objetivo de fraude, actualizaba la regla de la bandeja de entrada que había creado para incluir los dominios de organización de estos nuevos objetivos».

Microsoft dijo que las organizaciones deberían considerar la posibilidad de complementar la protección MFA con señales adicionales basadas en la identidad, como la pertenencia al usuario o al grupo, la información sobre la ubicación IP y el estado del dispositivo.

10 cosas que necesitas saber directamente en tu bandeja de entrada cada día de la semana. Inscríbase en el Resumen diario El resumen de Silicon Republic de las noticias esenciales de ciencia y tecnología.