Ciberdelincuentes despliegan aplicaciones OAuth maliciosas para comprometer servidores de correo electrónico y difundir spam

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Actores de la amenaza desplegaron aplicaciones OAuth en inquilinos de la nube comprometidos y luego las utilizaron para controlar los servidores de Exchange y propagar spam.

La noticia es el resultado de una investigación realizada por investigadores de Microsoft. Reveló que los actores de la amenaza lanzaron ataques de relleno de credenciales (que utilizan listas de credenciales de usuario comprometidas) contra cuentas de administrador de alto riesgo y no seguras que no tenían habilitada la autenticación multifactor (MFA) para obtener el acceso inicial.

El actor utilizó el conector de entrada malicioso para enviar correos electrónicos de spam que parecían proceder del dominio genuino de los objetivos.

“Los correos electrónicos de spam se enviaron como parte de un esquema de sorteo engañoso destinado a engañar a los destinatarios para que se inscribieran en suscripciones de pago recurrentes”.

En el aviso, Microsoft dijo que la popularidad del abuso de aplicaciones OAuth ha aumentado recientemente, en particular los intentos que se basan en el phishing de consentimiento (engañando a los usuarios para que concedan permisos a aplicaciones OAuth maliciosas).

“En los últimos años, Microsoft ha observado que cada vez más actores de amenazas, incluyendo actores de estados-nación, han estado utilizando aplicaciones OAuth para diferentes propósitos maliciosos – comunicación de comando y control (C2), puertas traseras, phishing, redirecciones, etc.”

En cuanto al ataque más reciente presenciado por Microsoft, implicó el uso de una red de aplicaciones de inquilino único instaladas en organizaciones comprometidas como plataforma de identidad del actor para realizar el ataque.

Según Microsoft, el ataque expuso debilidades de seguridad que podrían ser utilizadas por otros actores de amenazas en ataques que afectan directamente a las empresas afectadas.

Para reducir la superficie de ataque y mitigar el impacto de ataques como este, Microsoft recomendó implementar MFA y habilitar políticas de acceso condicional, evaluación continua de acceso (CAE) y valores predeterminados de seguridad en Azure Active Directory (AD).

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *