Una novedosa campaña de phishing aprovechó la infraestructura legítima de Dropbox y eludió con éxito los protocolos de autenticación multifactor (MFA), según reveló una nueva investigación de Darktrace.
El ataque destaca la creciente explotación de servicios populares legítimos para engañar a los objetivos para que descarguen malware y revelen las credenciales de inicio de sesión.
Los hallazgos también muestran cómo los atacantes están volviéndose expertos en evadir los protocolos de seguridad estándar, incluidas las herramientas de detección de correo electrónico y MFA.
En declaraciones a Infosecurity, Hanah Darley, jefa de investigación de amenazas en Darktrace, señaló que si bien es común que los atacantes aprovechen la confianza que los usuarios tienen en servicios específicos imitando los correos electrónicos normales que reciben, en este caso, los actores de la amenaza fueron dieron un paso más y aprovecharon la plataforma legítima de almacenamiento en la nube Dropbox para llevar a cabo sus ataques de phishing.
Los atacantes se dirigieron a un cliente de Darktrace el 25 de enero de 2024, y 16 usuarios internos del entorno SaaS de la organización recibieron un correo electrónico de “no-reply@dropbox[.]com”. Esta es una dirección de correo electrónico legítima utilizada por el servicio de almacenamiento de archivos de Dropbox.
El correo electrónico contenía un enlace que llevaría al usuario a un archivo PDF alojado en Dropbox, que aparentemente llevaba el nombre de un socio de la organización.
Este archivo PDF contenía un enlace sospechoso a un dominio que nunca antes se había visto en el entorno del cliente, llamado “mmv-security[.]top”.
Este correo electrónico fue detectado y retenido por la herramienta de seguridad de correo electrónico de Darktace. Sin embargo, el 29 de enero, un usuario recibió otro correo electrónico de la dirección legítima no-reply@dropbox[.]com, recordándole que abriera el archivo PDF previamente compartido.
Aunque el mensaje se movió al archivo basura del usuario, el empleado abrió el correo electrónico sospechoso y siguió el enlace al archivo PDF. El dispositivo interno se conectó al enlace malicioso mmv-security[.]top unos días después.
Este enlace conducía a una página de inicio de sesión falsa de Microsoft 365, diseñada para recopilar las credenciales de titulares legítimos de cuentas SaaS.
El 31 de enero, Darktrace observó varios inicios de sesión sospechosos de SaaS desde múltiples ubicaciones inusuales que nunca antes habían accedido a la cuenta.
Los inicios de sesión inusuales posteriores el 1 de febrero se asociaron con ExpressVPN, lo que indica que los actores de la amenaza utilizaron una red privada virtual (VPN) para enmascarar su ubicación real.
Estos inicios de sesión parecían utilizar un token MFA válido, lo que sugiere que los atacantes habían eludido con éxito la política MFA de la organización.
Los investigadores creen que el empleado pudo, sin saberlo, haber aprobado una solicitud de
A pesar de que los atacantes eludieron MFA con credenciales legítimas, el equipo de seguridad de la organización aún fue alertado sobre la actividad sospechosa después de identificar actividad inesperada en las cuentas SaaS.
Darley dijo que el incidente demuestra que las organizaciones ya no pueden confiar en MFA como última línea de defensa contra los ciberatacantes.
En esta ocasión, el actor de amenazas creó una nueva regla de correo electrónico en la cuenta de Outlook comprometida, cuyo objetivo era mover inmediatamente cualquier correo electrónico del equipo de cuentas de la organización directamente a la carpeta del buzón “Historial de conversaciones”.
Los expertos dijeron que este enfoque está diseñado para evitar la detección, moviendo sus correos electrónicos maliciosos y cualquier respuesta a ellos a carpetas de buzones de correo menos visitadas.
Info – Ciberseguridad Latam