Una sofisticada operación de phishing como servicio ha sido apuntar a cuentas de Google y Microsoft y puede evitar los mecanismos de defensa tradicionales, incluida la autenticación multifactorial, los investigadores de OKTA AMENAY INTELIGENCIA advirtió en una publicación de blog el jueves,
La operación de phishing, denominada VoidProxy, utiliza técnicas adversas en el medio para evitar el flujo de autenticación normal.
Los investigadores se enteraron por primera vez de ataques vinculados a la operación en enero, pero los anuncios web oscuros para VoidProxy parecen haber comenzado ya en agosto de agosto de 2024, según los investigadores de OKTA. Los ataques están en curso, y Okta dijo que se han apuntado a cuentas valiosas.
«Hemos observado adquisiciones de cuentas de alta confianza en múltiples entidades», dijeron los investigadores de Okta a Cybersecurity Dive por correo electrónico. «Por extensión, esperamos que Microsoft y Google hayan observado un mayor número de eventos de ATO, dado que los usuarios no federados de proxies voidproxy directamente con los servidores de Microsoft y Google».
El servicio VoidProxy captura tokens de sesión, códigos de MFA y credenciales, y puede omitir los métodos de MFA que usan códigos SMS o contraseñas únicas utilizadas en aplicaciones de autenticación, según OKTA.
Durante las primeras fases de un ataque, los señuelos de phishing se envían desde cuentas comprometidas que utilizan proveedores de servicios de correo electrónico legítimos, como contacto constante, campaña activa, notifican a los visitantes y otros. Al aprovechar la reputación de las cuentas, se pueden evitar los filtros de spam, según OKTA.
Los atacantes pueden aprovechar dicha operación para realizar ataques de seguimiento, incluido el compromiso de correo electrónico comercial; moverse lateralmente dentro de los sistemas; exfiltrar datos de entidades específicas; y realizar otra actividad, según OKTA.
Los ataques en ciertos casos fueron frustrados por Okta FastPass, el servicio de autenticación sin contraseña del proveedor, que marcó la actividad maliciosa. Los usuarios con autenticadores resistentes al phishing no podrían compartir credenciales ni usar la infraestructura VoidProxy para iniciar sesión, según OKTA.
Los investigadores de OKTA confirmaron que notificaron a Microsoft y Google de los hallazgos y también compartieron información con SaaS Partners y advirtieron a los clientes de OKTA sobre la operación de phishing el lunes.
La estructura de la operación reduce efectivamente la barrera técnica requerida para que un actor de amenaza lance su propia operación de phishing contra una organización específica, dijeron los investigadores.
«Regularmente vemos nuevas campañas de phishing como esta emergentes, por lo que diseñamos protecciones duraderas para mantener a los usuarios a salvo de este tipo de ataques», dijo un portavoz de Google a Cybersecurity Dive.
Las salvaguardas incluyen protección contra la suplantación de dominios, los enlaces de phishing y los remitentes comprometidos, según el portavoz.
Google está de acuerdo con las recomendaciones en el informe de OKTA de que los usuarios deben adoptar las veras pasas como un método sólido para proteger contra el phishing, agregó el portavoz.
Microsoft declinó hacer comentarios, sin embargo, un portavoz proporcionó un enlace con guía de mitigación general.
Fuente