Una campaña de phishing a gran escala y de múltiples etapas recientemente descubierta y observada por primera vez en APAC emplea una técnica novedosa que solo tiene éxito contra organizaciones que no tienen implementada la autenticación multifactor (MFA), según el equipo de seguridad de Microsoft.
En una divulgación recientemente publicada, Microsoft reveló cómo la campaña se dirigió a las víctimas en Australia, Indonesia, Singapur y Tailandia, primero a través de la práctica bastante estándar de robar credenciales, en este caso a través de un phishing de DocuSign falso que los dirigía a un inicio de sesión de Office 365 falsificado.
En la segunda etapa, los atacantes detrás de la campaña explotaron la prevalencia actual de las políticas de traiga su propio dispositivo al usar las credenciales robadas para registrar sus propios dispositivos en la red de destino, que luego usaron para expandir su presencia en la red y propagar el ataque aún más.
Debido a que MFA, cuando se implementa correctamente, evita que los atacantes usen credenciales robadas para acceder a dispositivos o redes, aquellos que lo estaban usando pudieron frustrar la campaña, pero para aquellos que no lo hicieron, el ataque progresó.
“Esta campaña muestra que la mejora continua de la visibilidad y las protecciones en los dispositivos administrados ha obligado a los atacantes a explorar vías alternativas”, escribió el equipo de inteligencia sobre amenazas de Microsoft 365 Defender. “La superficie de ataque potencial se amplía aún más por el aumento de empleados que trabajan desde casa, lo que cambia los límites entre las redes corporativas internas y externas.
“Los atacantes implementan varias tácticas para abordar los problemas organizacionales inherentes al trabajo híbrido, el error humano y la TI en la sombra o las aplicaciones, servicios, dispositivos y otras infraestructuras no administradas que operan fuera de las políticas estándar”, escribieron.
“Estos dispositivos no administrados a menudo son ignorados o pasados por alto por los equipos de seguridad en el momento de la unión, lo que los convierte en objetivos lucrativos para comprometer, realizar movimientos laterales silenciosamente, saltar los límites de la red y lograr la persistencia con el fin de lanzar ataques más amplios. Aún más preocupante, como descubrieron nuestros investigadores en este caso, es cuando los atacantes logran conectar con éxito un dispositivo que operan completamente y está bajo su control total”.
Jason Soroko, director de tecnología de infraestructura de clave pública en el especialista en administración de certificados Sectigo, dijo: “Los delincuentes se están volviendo más inteligentes y aún pueden obtener resultados de vectores de ataque más antiguos y probados. En caso de un ataque de phishing, ya no es suficiente estar atento a los correos electrónicos mal redactados: los destinatarios también deben considerar el contexto, el contenido y el remitente, especialmente si se trata de transacciones financieras. Hay todo tipo de malware que puede ingresar a su sistema a través de descargas o piratería directa.
“La conclusión es que los nombres de usuario y las contraseñas no son un método seguro para la autenticación, ya sea que se usen para terminales de punto de venta o cuentas de redes sociales”, dijo.
“Desafortunadamente, la confianza en el modelo de contraseña sigue siendo demasiado común. Esta última vulnerabilidad subraya cuán defectuoso es el modelo, ya que un dispositivo inseguro protegido por una contraseña predeterminada puede ser un punto de entrada para un ataque más amplio en la red”.