Atacantes desconocidos han utilizado aplicaciones maliciosas de OAuth de terceros con una insignia evidente de “Identidad de editor verificada” para atacar organizaciones en el Reino Unido e Irlanda, compartió Microsoft.
Los ataques fueron detectados por primera vez por los investigadores de Proofpoint a principios de diciembre de 2022 e involucraron tres aplicaciones no autorizadas que se hacían pasar por SSO y aplicaciones de reuniones en línea. Los objetivos de estas organizaciones que han caído en la trampa permitieron que estas aplicaciones no autorizadas accedieran a sus cuentas de correo electrónico de O365 e infiltraran los entornos en la nube de las organizaciones.
“El impacto potencial para las organizaciones incluye cuentas de usuario comprometidas, exfiltración de datos, abuso de marca de organizaciones suplantadas, fraude de compromiso de correo electrónico comercial (BEC) y abuso de buzón”, explicaron los investigadores de Proofpoint.
Uso de aplicaciones OAuth para eludir MFA
La creciente adopción de la autenticación multifactor (MFA) ha hecho que las técnicas tradicionales de apropiación de cuentas, como el phishing, la fuerza bruta de contraseñas o las adivinanzas, sean menos efectivas, por lo que algunos atacantes están recurriendo a campañas de phishing de consentimiento para obtener acceso prolongado a las cuentas de los objetivos. A través de aplicaciones OAuth no autorizadas de terceros, obtienen el acceso y los permisos necesarios para revisar el buzón de correo, el calendario, la información de reuniones, etc. de los objetivos.
Esta técnica de ataque no es nueva , pero definitivamente no se implementa ampliamente, ya que requiere que los atacantes realicen un esfuerzo considerable para “preparar el escenario”.
En este caso particular, tuvieron que engañar a Microsoft para que proporcionara la insignia azul “Identidad del editor verificada” a las tres aplicaciones no autorizadas, denominadas “Inicio de sesión único (SSO)” y “Reunión”, y luciendo un ícono antiguo de Zoom, para que los objetivos confiarían en ellos y les permitirían acceder a sus cuentas.
Según la empresa, los atacantes se hicieron pasar por empresas legítimas cuando se inscribieron en el Programa Microsoft Cloud Partner y “utilizaron cuentas de socios fraudulentas para agregar un editor verificado a los registros de aplicaciones OAuth que crearon en Azure AD”.
Los usuarios objetivo fueron engañados por la insignia de “editor verificado”, el nombre del editor (que era muy similar al nombre de un editor legítimo existente) y los enlaces en el formulario de consentimiento de cada aplicación que apuntaban al sitio web de la organización suplantada.
“La solicitud de autorización de la aplicación prolifera a través de archivos ‘.html’ y ‘.htm’ personalizados, que están vinculados a la pantalla de consentimiento de la aplicación”, compartieron los investigadores de Proofpoint. (No dijeron cómo se entregaron estos archivos pero los correos electrónicos de phishing son el mecanismo más probable).
Mitigación de la amenaza de aplicaciones OAuth maliciosas: “verificadas” o no
Esta campaña en particular duró hasta el 27 de diciembre de 2022 y, desde entonces, Microsoft deshabilitó las aplicaciones maliciosas y notificó a los clientes afectados.
“Según nuestro análisis, esta campaña parecía estar dirigida principalmente a organizaciones y usuarios del Reino Unido. Entre los usuarios afectados se encontraba el personal financiero y de marketing, así como usuarios de alto perfil como gerentes y ejecutivos”, señalaron los investigadores de Proofpoint.
“Alentamos a los clientes afectados a investigar y confirmar si se requiere una solución adicional, y todos los clientes toman medidas para protegerse contra el phishing de consentimiento ”, dijo Microsoft , y agregó que “implementaron varias medidas de seguridad adicionales para mejorar el proceso de investigación de MCPP y disminuir la riesgo de un comportamiento fraudulento similar en el futuro”.
Si bien las empresas definitivamente deberían capacitar a sus empleados para detectar estos ataques, es posible que los trucos de ingeniería social empleados por los atacantes aún engañen a algunos de ellos.
“Las organizaciones deben evaluar cuidadosamente los riesgos y beneficios de otorgar acceso a aplicaciones de terceros. Además, las organizaciones deberían restringir el consentimiento del usuario a aplicaciones con editores verificados y permisos delegados de bajo riesgo”, aconsejaron los investigadores. Además, deben implementar soluciones de seguridad que puedan detectar aplicaciones OAuth maliciosas de terceros y notificar al equipo de seguridad de la empresa cuando lo hagan.
“Las acciones de remediación automatizadas, como revocar aplicaciones OAuth maliciosas de su entorno de nube, pueden disminuir en gran medida el tiempo de permanencia de los actores de amenazas y prevenir la mayoría de los riesgos posteriores al acceso”, señalaron.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad