Microsoft ha revelado este martes que una campaña de phishing a gran escala se dirigió a más de 10.000 organizaciones desde septiembre de 2021 atacando el proceso de autenticación de Office 365 incluso en cuentas aseguradas con autenticación de múltiples factores (MFA).
A continuación, los atacantes utilizaron las credenciales robadas y las cookies de sesión para acceder a losbuzones de los usuarios afectados y llevar a cabo campañas de «espionaje» del correo electrónico de sus objetivos.
Las intrusiones implicaban la creación de sitios de phishing del tipo «adversary-in-the-middle» (AitM, por sus siglas en inglés), en los que el atacante despliega un servidor proxy entre una víctima potencial y el sitio web objetivo para que los destinatarios de un correo electrónico de phishing sean redirigidos a páginas parecidas diseñadas para capturar credenciales e información MFA.
La página de phishing tiene dos sesiones diferentes de seguridad de la capa de transporte (TLS): una con el objetivo y otra con el sitio web real al que el objetivo quiere acceder.
Estas sesiones significan que la página de phishing funciona prácticamente como un agente AitM, interceptando todo el proceso de autenticación y extrayendo datos valiosos de las peticiones HTTP, como contraseñas y, lo que es más importante, cookies de sesión.
La campaña de phishing detectada por Microsoft fue organizada para identificar a los usuarios de Office 365 mediante la suplantación de la página de autenticación en línea de Office. Los actores utilizaron el kit de phishing Evilginx2 para llevar a cabo los ataques.
Los ataques no terminaron ahí, ya que los atacantes abusaron de su acceso al buzón de correo para realizar fraudes de pago utilizando una técnica llamada «email thread hijacking» para engañar a las partes en el otro extremo de la conversación para transferir ilícitamente fondos a cuentas bajo su control.