Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Microsoft alerta sobre phishing AitM y BEC usando SharePoint en el sector energético
Noticias

Microsoft alerta sobre phishing AitM y BEC usando SharePoint en el sector energético

por Dragora
Escrito por Dragora

Microsoft ha emitido una alerta de seguridad crítica tras detectar una campaña de phishing y compromiso de correo electrónico empresarial (BEC) altamente sofisticada, basada en técnicas de adversario en el medio (AitM) y dirigida específicamente a organizaciones del sector energético. La operación destaca por su complejidad operativa y por el abuso de servicios legítimos y de confianza, como SharePoint y OneDrive, para eludir controles de seguridad tradicionales y engañar a los usuarios.

Según el equipo de investigación de Microsoft Defender, los atacantes llevaron a cabo una ofensiva en múltiples fases que comenzó con correos electrónicos de phishing aparentemente legítimos y evolucionó hacia ataques AitM persistentes y actividades BEC posteriores que afectaron a múltiples organizaciones. Esta campaña demuestra cómo los actores de amenazas continúan perfeccionando sus tácticas para maximizar el impacto y la persistencia dentro de entornos corporativos.

Phishing desde fuentes confiables y abuso de SharePoint

El punto de entrada inicial de la campaña es un correo electrónico de phishing enviado desde una cuenta legítima previamente comprometida, perteneciente a una organización de confianza. Este detalle es clave, ya que reduce significativamente las probabilidades de detección por parte de filtros de correo y despierta menos sospechas en las víctimas.

Los mensajes se presentan como flujos de trabajo de intercambio de documentos de SharePoint, una herramienta ampliamente utilizada en entornos empresariales. Al aprovechar la familiaridad de estas plataformas, los atacantes aplican la técnica conocida como “living off trusted sites” (LOTS), que consiste en abusar de servicios legítimos para camuflar actividades maliciosas.

El enlace incluido en el correo redirige a la víctima a una página falsa de inicio de sesión, diseñada para simular el acceso a un documento compartido. Una vez introducidas las credenciales, estas son capturadas en tiempo real mediante un ataque AitM, permitiendo a los atacantes obtener no solo el nombre de usuario y contraseña, sino también cookies de sesión activas, incluso en entornos protegidos con MFA tradicional.

Persistencia mediante reglas de la bandeja de entrada

Tras comprometer la cuenta, los atacantes crean reglas maliciosas en la bandeja de entrada del usuario afectado. Estas reglas eliminan automáticamente correos entrantes o los marcan como leídos, lo que impide que la víctima detecte actividad sospechosa o alertas de seguridad. Esta técnica es habitual en ataques BEC y está diseñada para mantener a la víctima desinformada, facilitando la persistencia del atacante en el entorno.

Con la cuenta ya bajo su control, los actores maliciosos la utilizan como plataforma para lanzar campañas de phishing a gran escala, tanto internas como externas. En uno de los incidentes documentados, Microsoft observó el envío de más de 600 correos electrónicos a contactos del usuario comprometido, ampliando rápidamente el alcance del ataque.

Ataques AitM y limitaciones del restablecimiento de contraseñas

Microsoft subrayó que esta campaña pone de relieve la insuficiencia de los restablecimientos de contraseña tradicionales como única medida de mitigación. Dado que los atacantes roban cookies de sesión válidas, incluso después de cambiar la contraseña, el acceso no autorizado puede persistir.

Por este motivo, las organizaciones afectadas deben:

  • Revocar todas las cookies de sesión activas

  • Eliminar las reglas sospechosas de la bandeja de entrada

  • Revisar y revertir cambios no autorizados en configuraciones de MFA

  • Analizar los registros de acceso en busca de actividad anómala

Microsoft indicó que colaboró directamente con clientes comprometidos para eliminar estos artefactos y restaurar la integridad de las cuentas afectadas.

Tendencia creciente: abuso de servicios legítimos

Esta campaña se enmarca en una tendencia más amplia observada en el ecosistema de amenazas, donde los atacantes abusan de plataformas confiables como Google Drive, AWS o Confluence de Atlassian para redirigir a las víctimas a páginas de robo de credenciales o preparar la entrega de malware. Esta estrategia reduce la necesidad de infraestructura propia y dificulta la detección basada en reputación de dominios.

Vishing y kits de phishing avanzados

De forma paralela, el proveedor de identidad Okta ha advertido sobre la proliferación de kits de phishing personalizados, diseñados para campañas de phishing por voz (vishing). En estos ataques, los actores se hacen pasar por personal de soporte técnico y guían a las víctimas por teléfono mientras controlan en tiempo real el flujo de autenticación en su navegador.

Estos kits permiten bypassear métodos de MFA no resistentes al phishing, aprovechando la ingeniería social y la sincronización entre la llamada telefónica y las páginas de phishing. Las credenciales capturadas se transmiten instantáneamente a los atacantes mediante canales como Telegram.

Técnicas visuales para engañar a las víctimas

Investigadores también han detectado el uso de URLs engañosas y ataques de homoglifo, donde se sustituyen caracteres visualmente similares, como “rn” por “m”, para crear dominios fraudulentos extremadamente convincentes. Ejemplos como “rnicrosoft[.]com” o “rnastercard[.]de” demuestran lo fácil que resulta engañar incluso a usuarios experimentados.

Recomendaciones de seguridad

Ante este panorama, Microsoft y otros proveedores recomiendan a las organizaciones:

  • Implementar MFA resistente al phishing

  • Activar políticas de acceso condicional

  • Habilitar evaluación continua de acceso

  • Utilizar soluciones avanzadas de detección anti-phishing

  • Capacitar a los usuarios en la identificación de ataques AitM y BEC

En fin…

La campaña descrita por Microsoft confirma que el phishing moderno ha evolucionado hacia operaciones altamente coordinadas, que combinan abuso de servicios legítimos, ingeniería social avanzada y técnicas AitM para evadir incluso defensas maduras. Para sectores críticos como el energético, donde el impacto de una intrusión puede ser devastador, la adopción de controles de seguridad avanzados y una vigilancia constante ya no es opcional, sino esencial.

Fuente: The Hacker News     

0 Comentar
0
FacebookTwitterPinterestLinkedinEmail

You may also like

Redis corrige fallo crítico RCE descubierto por IA

HTTP/2 Bomb amenaza NGINX, Apache e IIS

Cisco corrige fallo crítico CVSS 10 en Secure...

Europa y EE. UU. desmantelan VPN usada por...

Microsoft corregirá fallo de contraseñas en Edge

Microsoft confirma ataques contra Exchange Server

Malware detectado en versiones npm de node-ipc

Cisco corrige fallo crítico SD-WAN explotado activamente

Microsoft corrige error de Office en Windows 365

Google descubre exploit zero-day creado con IA

Dejar Comentario

Guardar mi nombre y email para el próximo comentario

Click to listen highlighted text!