Recientemente, los expertos de Microsoft Defender descubrieron un sofisticado ataque de phishing Business Email Compromise (AiTM) de varias etapas que se dirigía a organizaciones de servicios bancarios y financieros. El ataque, rastreado como Storm-1167, fue lanzado por un proveedor de confianza comprometido y se convirtió en una serie de ataques AiTM y actividades BEC de seguimiento que abarcan múltiples organizaciones. El objetivo era el fraude financiero, explotando las relaciones de confianza entre vendedores, proveedores y organizaciones asociadas.
El ataque de phishing AiTM y BEC de múltiples etapas comenzó con un correo electrónico de phishing de un proveedor confiable, que contenía un código único de siete dígitos en la línea de asunto. El cuerpo del correo electrónico incluía un enlace para ver o descargar un fax, lo que condujo a una URL maliciosa alojada en Canva.com. Los atacantes explotaron hábilmente el servicio legítimo de Canva para la campaña de phishing, usándolo para alojar una página que mostraba una vista previa de un documento de OneDrive falso y vinculada a una URL de phishing.
Después de que las víctimas hicieran clic en la URL, fueron redirigidos a una página de phishing alojada en la plataforma en la nube de Tencent que suplantaba una página de inicio de sesión de Microsoft. Después de que las víctimas proporcionaran sus contraseñas, los atacantes iniciaron una sesión de autenticación con las credenciales de las víctimas. Cuando se les solicitó que usaran la autenticación multifactor (MFA), los atacantes cambiaron la página de phishing por una página MFA falsificada. Después de que las víctimas completaron la MFA, los atacantes capturaron el token de sesión.
Luego, los atacantes utilizaron la cookie de sesión robada para hacerse pasar por las víctimas, sin pasar por la contraseña y los mecanismos de autenticación MFA. Accedieron a conversaciones de correo electrónico y documentos alojados en la nube, e incluso generaron un nuevo token de acceso, lo que les permitió permanecer más tiempo en el entorno. Los atacantes también agregaron un nuevo método MFA para las cuentas de las víctimas, utilizando un servicio de contraseña de un solo uso (OTP) basado en el teléfono para iniciar sesión sin ser detectados.
Luego, los atacantes lanzaron una campaña de phishing a gran escala que involucró más de 16,000 correos electrónicos con una URL de Canva ligeramente modificada. Los correos electrónicos se enviaron a los contactos del usuario comprometido, dentro y fuera de la organización, así como a las listas de distribución. Los destinatarios fueron identificados en base a hilos recientes en la bandeja de entrada del usuario comprometido. El asunto de los correos electrónicos contenía un código único de siete dígitos, posiblemente una táctica del atacante para rastrear organizaciones y cadenas de correo electrónico.
Los destinatarios de los correos electrónicos de phishing que hicieron clic en la URL maliciosa también fueron objeto de otro ataque AiTM. Los expertos de Microsoft Defender identificaron a todos los usuarios comprometidos según la dirección IP de destino y los patrones de dirección IP de inicio de sesión. Se observó al atacante lanzando otra campaña de phishing desde el buzón de uno de los usuarios comprometidos por el segundo ataque AiTM.
Este incidente destaca la complejidad de los ataques AiTM y las defensas integrales que requieren. También subraya la importancia de la investigación proactiva de amenazas para descubrir nuevas tácticas, técnicas y procedimientos (TTP) en campañas ya conocidas para sacar a la luz y remediar este tipo de amenazas. La evolución continua de estas amenazas, como el uso de proxy en esta campaña, ilustra la necesidad de que las organizaciones se mantengan vigilantes y proactivas en sus medidas de ciberseguridad.
