Microsoft retira dominios utilizados, para estafar a los usuarios de Office 365

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

La Unidad de Crímenes Digitales (DCU) de Microsoft ha incautado 17 dominios maliciosos utilizados por estafadores en una campaña de compromiso de correo electrónico empresarial (BEC) dirigida a los clientes de la compañía.

Los dominios retirados por Microsoft eran los llamados “homoglyph”, registrados para parecerse a los de empresas legítimas. Esta técnica permitía a los actores de la amenaza hacerse pasar por empresas cuando se comunicaban con sus clientes.

Según la denuncia presentada por Microsoft, durante la última se mana, utilizaron los dominios registrados a través de NameSilo LLC y KS Domains Ltd./Key-Systems GmbH como infraestructura maliciosa en los ataques BEC contra clientes y servicios de Office 365.

Los delincuentes que están detrás de esta campaña, son “parte de una extensa red que parece estar basada en África Occidental”, según Microsoft, y se han dirigido principalmente a pequeñas empresas norteamericanas que operan en varios sectores industriales.

“El grupo procedió a reunir información para hacerse pasar por estos clientes en un intento de engañar a las víctimas para que transfirieran fondos a los ciberdelincuentes”, dijo Hogan-Burney.

“Una vez que los delincuentes obtenían acceso a una red, imitaban a los empleados del cliente y apuntaban a sus redes de confianza, proveedores, contratistas y agentes en un esfuerzo por engañarlos para que enviaran o aprobaran pagos financieros fraudulentos.”

Estas tácticas se alinean perfectamente con los métodos utilizados en las estafas BEC, en las que los atacantes emplean diversas tácticas (incluyendo la ingeniería social, el phishing y el hacking) para comprometer las cuentas de correo electrónico de las empresas, utilizadas posteriormente para redirigir los pagos a cuentas bancarias bajo su control o para dirigirse a los empleados como parte de las estafas con tarjetas de regalo.

No es la primera vez que Microsoft tiene que hacer frente a este tipo de incidentes. Por ejemplo, en junio, los investigadores de Microsoft 365 Defender desbarataron la infraestructura basada en la nube utilizada por otra campaña BEC a gran escala.

En los últimos ataques, los estafadores utilizaron protocolos heredados como IMAP/POP3 para exfiltrar correos electrónicos y eludir la MFA en las cuentas de Exchange Online cuando los objetivos no desactivaron la autenticación heredada.

Info | Ciberseguridad Latam