Amy Larsen DeCarlo – Analista principal, seguridad y servicios de centro de datos Resumen de viñetas: • El proveedor de ciberseguridad Proofpoint señaló una operación de piratería en noviembre en la que los ciberdelincuentes están empleando cebo de phishing dentro de documentos compartidos de Office 365 para robar credenciales. • Los piratas informáticos se han dirigido a usuarios finales en un espectro de roles corporativos en múltiples organizaciones con títulos que van desde gerentes de cuentas y directores de ventas hasta directores financieros y directores ejecutivos. El equipo de Respuesta de Seguridad en la Nube del proveedor de seguridad Proofpoint emitió una alerta esta semana sobre una campaña de phishing en curso que involucra aplicaciones de Office 365 que la organización descubrió por primera vez en noviembre. Los piratas informáticos han estado combinando tácticas de phishing de credenciales y de apropiación de cuentas para obtener acceso a los recursos empresariales. Hasta ahora, decenas de organizaciones y cientos de usuarios se han visto afectados. Un método que utilizan estos malos actores es insertar enlaces que dirigen a los usuarios específicos a hacer clic para ver un documento. Luego, los enlaces dirigen a los usuarios a una página web de phishing dañina. Un sello distintivo de la operación maliciosa es que los actores de amenazas se dirigen a empleados de la empresa en función de una variedad de roles. Proofpoint dijo que algunos de los más afectados incluyen directores de ventas, gerentes de cuentas y gerentes financieros. El boletín también señaló que los ejecutivos, con títulos como «Vicepresidente de Operaciones», «Director financiero y tesorero» y «Presidente y director ejecutivo» también ocupaban un lugar destacado en las listas de piratas informáticos. Proofpoint llamó a esta metodología «una estrategia práctica» que busca «comprometer cuentas con varios niveles de acceso a recursos valiosos y responsabilidades en todas las funciones organizacionales». Los analistas de Proofpoint redujeron los indicadores específicos de compromiso (IOC) de la campaña siendo un agente de usuario de Linux particular aplicado durante la fase de acceso de la cadena de ataque. Los piratas informáticos utilizan este agente de usuario para acceder a la aplicación de inicio de sesión «OfficeHome». Los actores de amenazas también aplican este agente de usuario para acceder a otras aplicaciones nativas de Microsoft 365, incluidas «Mis inicios de sesión» para engañar a los controles de autenticación multifactor (MFA) y Office 365 Exchange Online para la filtración de datos y la proliferación de amenazas de correo electrónico. Con respecto a la manipulación de MFA impulsada por esta campaña, los piratas informáticos aplican diferentes mecanismos, incluida la lista de nuevos números de teléfono para la autenticación mediante SMS o teléfono. Pero lo más habitual es que los actores de amenazas agreguen una aplicación de autenticación con notificación y código. Los atacantes también realizan phishing interno y externo para moverse por la organización. Se han centrado específicamente en recursos humanos y organizaciones financieras para realizar fraude financiero. Los piratas informáticos son sigilosos y crean reglas de ofuscación de buzones de correo para cubrir sus huellas. Proofpoint describió una guía sobre las salvaguardas que las organizaciones deberían tener implementadas para contrarrestar estos ataques y mitigar los daños si ya han ocurrido. Estos incluyen el seguimiento de cadenas de agentes de usuario específicas y dominios de origen en registros empresariales para identificar y aislar posibles amenazas. Las organizaciones deben cambiar las credenciales de todos los usuarios objetivo. También es fundamental identificar inmediatamente las apropiaciones de cuentas (ATO). Proofpoint también insta a las organizaciones a implementar políticas de remediación automática para limitar el tiempo de los atacantes en la empresa y limitar las consecuencias de los ataques.

Source link