Actualmente, se está llevando a cabo una sofisticada campaña de phishing que roba credenciales de Microsoft 365 mediante el uso malintencionado de los servicios de federación de Active Directory (ADFS). Este ataque es particularmente peligroso porque redirige a los usuarios desde enlaces legítimos de office.com a páginas de inicio de sesión falsas.
Los atacantes utilizan publicidad en línea para dirigir a las víctimas a URLs de Microsoft legítimas que han sido manipuladas. Una vez que el usuario hace clic en el anuncio, el sistema ADFS de Microsoft, que facilita el inicio de sesión único (SSO), es explotado para redirigir a la víctima a un sitio de phishing idéntico, saltándose las defensas de seguridad tradicionales y las alertas del usuario.
Este método, conocido como «ADFSjacking,» es efectivo porque la primera redirección proviene de una fuente de confianza de Microsoft. El sitio falso, que funciona como un proxy, captura las credenciales ingresadas e incluso puede robar las cookies de sesión, lo que permite a los atacantes eludir la autenticación multifactor (MFA).
Para mitigar esta amenaza, los expertos en ciberseguridad recomiendan a las organizaciones monitorear los registros de red en busca de redirecciones ADFS inusuales. Para los usuarios, una defensa esencial es el uso de un bloqueador de anuncios confiable para evitar los anuncios maliciosos que inician esta cadena de ataque.
