Los investigadores de amenazas de Proofpoint están actualmente rastreando dos campañas de ciberataques sofisticadas y altamente dirigidas que utilizan mecanismos de redirección OAuth para comprometer las credenciales de los usuarios.
Estos ataques combinan técnicas avanzadas de suplantación de marca con proliferación de malware, centrándose en el phishing de credenciales con temática de Microsoft 365 diseñado para facilitar la apropiación de cuentas (ATO), según un informe compartido en la plataforma, X.
Características clave del ataque:
- Mecanismo de redirección OAuth: los atacantes explotan OAuth, un protocolo utilizado para la autorización segura, redirigiendo a los usuarios a páginas de inicio de sesión falsas. Este engaño de dirección errónea permite a los atacantes interceptar las credenciales de inicio de sesión, incluidos nombres de usuario y contraseñas.
- Suplantación de marca: los atacantes utilizan métodos sofisticados de suplantación de marca para imitar Microsoft 365 y otras marcas de renombre. Esta táctica ayuda a generar confianza con las víctimas potenciales, aumentando la probabilidad de que los objetivos proporcionen información confidencial sin saberlo.
- Proliferación de malware: además del phishing de credenciales, estas campañas también implican la distribución de malware. Una vez que el malware se instala en un dispositivo, puede extraer información confidencial adicional o facilitar un mayor acceso no autorizado.
- Enfoque dirigido: estas campañas están muy dirigidas y se centran en individuos o grupos específicos dentro de las organizaciones. Este enfoque personalizado sugiere que los atacantes han realizado un reconocimiento exhaustivo para identificar objetivos valiosos, lo que hace que los ataques sean más efectivos.
La combinación de redireccionamiento OAuth y phishing de credenciales plantea riesgos importantes para las empresas y las personas que utilizan Microsoft 365.
Si tienen éxito, estos ataques pueden provocar acceso no autorizado a datos confidenciales, pérdidas financieras y daños a la reputación.
Además, el uso de suplantaciones de marcas conocidas puede erosionar la confianza en servicios legítimos, complicando los esfuerzos por diferenciar entre comunicaciones genuinas y maliciosas.
Recomendaciones:
- Verificar las URL: verifique siempre la autenticidad de las URL antes de ingresar las credenciales de inicio de sesión.
- Utilice MFA: implemente la autenticación multifactor (MFA) para agregar una capa de seguridad.
- Actualizaciones periódicas: mantenga el software y las soluciones de seguridad actualizados con los últimos parches.
- Capacitación de empleados: eduque a los usuarios sobre cómo reconocer los intentos de phishing y la importancia de las mejores prácticas de seguridad.
A medida que estas campañas continúan evolucionando, la vigilancia y la concientización son cruciales para prevenir y mitigar tales ataques.
Las empresas deben seguir siendo proactivas a la hora de mejorar su postura de ciberseguridad para proteger sus datos e intereses de forma eficaz.
En conclusión, si bien el panorama de amenazas continúa volviéndose más complejo, comprender estos métodos de ataque y tomar medidas proactivas puede ayudar a prevenir pérdidas significativas.
