Sumérgete en una nueva campaña sofisticada, explotando la vulnerabilidad Open Redirect de Microsoft mediante quishing. Por Elad Damari, Gerente del Grupo de Respuesta a Incidentes, Los códigos QR de Perception Point se pueden encontrar en casi todas partes, ayudando a las personas a acceder a información útil y a otras páginas web tan rápido como pueden abrir las cámaras de sus teléfonos inteligentes. . Muchos de nosotros no lo pensamos dos veces antes de escanearlos. Pero para los ciberdelincuentes, su omnipresencia presenta una nueva oportunidad; la posibilidad de implementar una sofisticada variedad de phishing diseñada para hacernos bajar la guardia mientras se carga malware o se roba información confidencial. Después de todo, nadie puede verificar que un código QR sea seguro con solo mirarlo. Esta subclase de phishing vinculada al correo electrónico, denominada quishing, ha despegado el año pasado. En tan solo un mes (de agosto a septiembre), el número de ataques de quishing se disparó un 427%. Pero este aumento alarmante es sólo la mitad del problema: los enfoques utilizados para ejecutar los ataques se están volviendo tremendamente complejos, incorporando técnicas avanzadas para eludir las soluciones de seguridad del correo electrónico y utilizando tácticas de ingeniería social cada vez más inteligentes para engañar a las víctimas desprevenidas. Uno de esos exploits fue identificado por el equipo de analistas de Perception Point. Descubrieron una campaña de phishing que aprovechó una vulnerabilidad de redireccionamiento abierto dentro de uno de los conjuntos de servicios de Microsoft, comprometiendo potencialmente los datos del cliente. Las vulnerabilidades de redireccionamiento abierto de punto de entrada surgen cuando una aplicación web o un servidor está configurado de una manera que permite a los atacantes redirigir a un usuario a una URL externa que no es de confianza a través de un dominio confiable. En el caso del último descubrimiento del equipo, los atacantes explotaron dichas vulnerabilidades dentro de Azure Functions (una plataforma de computación en la nube de Microsoft para desarrolladores de aplicaciones) utilizando parámetros en consultas URL que no estaban validadas o se desinfectaron incorrectamente. Este descuido permitió a actores maliciosos crear URL que parecían pertenecer a Microsoft pero que, en cambio, redirigirían a los usuarios a sitios de inicio de sesión falsos mediante códigos QR fraudulentos. Desglose del ataque ¿Cómo funcionó este ataque? Comenzó cuando un usuario recibió un correo electrónico redactado con urgencia de lo que parecía ser el soporte técnico de Microsoft. Utilizando un dominio aparentemente legítimo, el correo electrónico pasó fácilmente las comprobaciones del marco de políticas del remitente (SPF), el estándar de autenticación de correo electrónico que los propietarios de dominios utilizan para verificar los servidores de correo electrónico, lo que dificulta que los actores de amenazas introduzcan información falsa del remitente sin ser detectados. El correo electrónico contenía un archivo PDF adjunto con el asunto: «Corrija sus credenciales». El PDF solicitaba a los usuarios que actualizaran la contraseña de su cuenta y las credenciales de correo electrónico haciendo clic en el enlace incrustado. Esto redirigía a los usuarios a un código QR malicioso con el logotipo de Microsoft, que estaba alojado en un servidor legítimo en el popular sitio de alojamiento de imágenes Flickr. Tranquilizados por el logotipo familiar, se pidió a los usuarios que escanearan el código con la cámara de su teléfono. Combinar logotipos familiares y bien establecidos con códigos QR malévolos es una táctica psicológica que anima a las personas a utilizar sus dispositivos móviles menos seguros, en lugar de computadoras más seguras. Además, cuando utilizan sus teléfonos, los usuarios son menos propensos a examinar las URL y seguir las recomendaciones generales de seguridad. Escanear el código QR condujo a una serie de URL, explotando una vulnerabilidad de redireccionamiento abierto en Azure Functions, creando una cadena convincente de redirecciones que culminó en una página de inicio de sesión de Microsoft 365 falsificada. Después de insertar su dirección de correo electrónico en la página de inicio de sesión falsificada, los usuarios fueron redirigidos nuevamente; esta vez al legítimo login.live.com, la página de inicio de sesión real de Microsoft. Luego, el actor de la amenaza establece una cookie de sesión en el dispositivo del usuario durante el proceso de redirección, lo que permite la visibilidad de las credenciales de las víctimas y, a su vez, acceder fácilmente a sus cuentas. Microsoft mitigó rápidamente el problema poco después de que el equipo de respuesta a incidentes compartiera sus hallazgos con el equipo de seguridad de Microsoft. Se acabó el phishing Esta sofisticada campaña de quishing que explota las vulnerabilidades de redireccionamiento abierto de Microsoft es un testimonio de la naturaleza cada vez más sofisticada y en constante evolución de los ataques de phishing. Las organizaciones deben mantenerse alerta: actualizar periódicamente los protocolos de seguridad y educar a los equipos para reconocer mejor las formas incipientes en que los ciberdelincuentes explotan y eluden los últimos marcos de ciberseguridad. Parafraseando el viejo dicho, siempre hay un phishing más grande que descifrar. Acerca del autor Elad Damari es un experto cibernético y líder del equipo de respuesta a incidentes en Perception Point. Allí, lidera el equipo para identificar y reducir el riesgo cibernético para las empresas a nivel mundial. Se puede contactar a Elad en línea a través de su LinkedIn (https://www.linkedin.com/in/elad-damari) y en el sitio web de nuestra empresa https://perception-point.io URL de la publicación original: https://www.cyberdefensemagazine .com/quishing-campaign-exploits-microsoft-open-redirect-vulnerability/