Múltiples grupos de amenazas han intensificado los ataques utilizando una técnica llamada phishing de código de dispositivo para engañar a los usuarios para que otorguen acceso a sus cuentas de Microsoft 365. según un informe del jueves de Proofpoint.
Los piratas informáticos afiliados a China y Rusia han utilizado esta técnica en los últimos meses para lanzar ataques. Varios grupos criminales también han utilizado el mismo método para atacar a los usuarios de M365.
«Este es un método de ingeniería social que abusa de un flujo de trabajo legítimo y confiable para el acceso autorizado», dijo a Cybersecurity Dive Sarah Sabotka, investigadora de amenazas del personal de Proofpoint.
La técnica implica enviar un mensaje con una URL incrustada detrás de un texto con hipervínculo o dentro de un código QR. Cuando un usuario activa el enlace, inicia una secuencia de ataque que utiliza un proceso legítimo de autorización de dispositivos de Microsoft, según Proofpoint.
Una vez que comienza el proceso, el usuario recibe un código de dispositivo. El código llega a la página de destino o a un correo electrónico secundario, según Proofpoint. Se le pide al usuario que ingrese el código del dispositivo como contraseña de un solo uso. Una vez hecho esto, se valida un token y el pirata informático obtiene acceso a la cuenta M365.
Los grupos de amenazas están utilizando herramientas como SquarePhish2 o el kit de phishing Graphish para lanzar ataques. El kit de phishing Graphish permite a los piratas informáticos crear páginas de phishing muy convincentes que aprovechan los registros de aplicaciones de Azure y las configuraciones de proxy inverso utilizadas en ataques de adversario intermedio.
La firma de ciberseguridad advirtió que un actor criminal rastreado con el nombre TA2723 ha estado ofreciendo una herramienta maliciosa a la venta en foros de piratería que puede usarse para tales ataques. Los investigadores identificaron una campaña que comenzó a principios de octubre en la que el pirata informático implementó SquarePhish2 y una segunda campaña utilizando Graphish.
Un grupo alineado con Rusia rastreado bajo el nombre UNK_AcademicFlare está vinculado a una campaña que se identificó por primera vez en septiembre. Los ataques utilizan correos electrónicos comprometidos de múltiples gobiernos y organizaciones militares para atacar a gobiernos, grupos de expertos, sectores de educación superior y transporte en Estados Unidos y Europa.
Microsoft no hizo comentarios sobre la investigación, pero la compañía proporcionó enlaces a un informe de investigación anterior en febrero que describía una campaña de phishing de códigos de dispositivos de un grupo vinculado a Rusia rastreado como Storm-2372. Ese grupo ha estado involucrado en este tipo de ataques desde agosto de 2024, utilizando una variedad de técnicas.
La compañía también publicó una guía a partir de octubre sobre amenazas contra Microsoft Teams.
Fuente