Microsoft advirtió el lunes sobre las campañas de suplantación de identidad que emplean correos electrónicos de suplantación de identidad y OAuth Mecanismos de redireccionamiento de URL para eludir las defensas de suplantación de identidad convencionales implementadas en el correo electrónico y los navegadores.

La actividad, según la empresa, apunta a organizaciones gubernamentales y del sector público con el objetivo final de redirigir a las víctimas a la infraestructura controlada por los atacantes sin robar sus fichas. Describió los ataques de suplantación de identidad como una amenaza basada en la identidad que aprovecha el comportamiento estándar diseñado por OAuth en lugar de aprovechar las vulnerabilidades del software o robar credenciales.

«OAuth incluye una función legítima que permite a los proveedores de identidad redirigir a los usuarios a una página de destino específica en determinadas condiciones, normalmente en escenarios de error u otros flujos definidos», dijo el equipo de investigación de seguridad de Microsoft Defender dijo .

adsense

«Los atacantes pueden abusar de esta funcionalidad nativa creando URL con proveedores de identidad populares, como Entra ID o Google Workspace, que utilizan parámetros manipulados o aplicaciones maliciosas asociadas para redirigir a los usuarios a páginas de destino controladas por los atacantes. Esta técnica permite crear URL que parecen benignas pero que, en última instancia, conducen a destinos maliciosos».

El punto de partida del ataque es una aplicación maliciosa creada por el actor de la amenaza en un inquilino bajo su control. La aplicación está configurada con una URL de redireccionamiento que apunta a un dominio no autorizado que aloja malware. A continuación, los atacantes distribuyen un enlace de suplantación de identidad de OAuth que indica a los destinatarios que se autentiquen en la aplicación malintencionada utilizando un alcance intencionadamente inválido.

El resultado de esta redirección es que los usuarios descargan e infectan inadvertidamente sus propios dispositivos con malware. Las cargas maliciosas se distribuyen en forma de archivos ZIP que, al desempaquetarlos, provocan la ejecución de PowerShell, la carga lateral de las DLL y la actividad previa al rescate o con el teclado, según Microsoft.

El archivo ZIP contiene un acceso directo de Windows (LNK) que ejecuta un comando de PowerShell en cuanto se abre. La carga útil de PowerShell se usa para realizar un reconocimiento del host mediante la ejecución de comandos de detección. El archivo LNK extrae del archivo ZIP un instalador de MSI y, a continuación, suelta un documento señuelo para engañar a la víctima, mientras que un archivo DLL malintencionado (» crashhandler.dll «) se descarga de forma lateral con el binario legítimo" steam_monitor.exe».

La DLL procede a descifrar otro archivo denominado "crashlog.dat" y ejecuta la última carga útil en la memoria, lo que le permite establecer una conexión saliente a un servidor externo de comando y control (C2).

Microsoft dijo que los correos electrónicos utilizan solicitudes de firma electrónica, grabaciones de Teams, temas de seguridad social, financieros y políticos como señuelos para engañar a los usuarios para que hagan clic en el enlace. Se dice que los correos electrónicos se enviaron a través de herramientas de envío masivo y soluciones personalizadas desarrolladas en Python y Node.js. Los enlaces se incluyen directamente en el cuerpo del correo electrónico o se colocan dentro de un documento PDF.

enlaces

«Para aumentar la credibilidad, los actores pasaron la dirección de correo electrónico objetivo a través del parámetro de estado utilizando varias técnicas de codificación, lo que permitió que se rellenara automáticamente en la página de suplantación de identidad», afirma Microsoft. «El parámetro de estado está pensado para generarse aleatoriamente y usarse para correlacionar los valores de solicitud y respuesta, pero en estos casos se reutilizó para incluir direcciones de correo electrónico codificadas».

Si bien se ha descubierto que algunas de las campañas aprovechan la técnica para distribuir malware, otras envían a los usuarios a páginas alojadas en marcos de suplantación de identidad, como EvilProxy, que actúa como un kit de adversario intermedio (AiTM) para interceptar las credenciales y las cookies de sesión.

Desde entonces, Microsoft ha eliminado varias aplicaciones de OAuth maliciosas que se identificaron como parte de la investigación. Se recomienda a las organizaciones que limiten el consentimiento de los usuarios, revisen periódicamente los permisos de las aplicaciones y eliminen las aplicaciones no utilizadas o con privilegios excesivos.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.