Lo que vas a encontrar...
Los atacantes maliciosos usan aplicaciones OAuth maliciosas para tomar el control de los servidores de Microsoft Exchange y distribuir spam.
Varios inquilinos de la nube que alojan servidores de Microsoft Exchange se han visto comprometidos por actores malintencionados que utilizan aplicaciones OAuth para distribuir spam.
Servidores de Microsoft Exchange utilizados para difundir spam
El 23 de septiembre de 2022, se indicó en una publicación de blog de Microsoft Security que el atacante «lanza ataques de relleno de credenciales contra cuentas de alto riesgo para las que la autenticación multifactor (MFA) no estaba habilitada y explotó cuentas de administrador inseguras para el primer acceso «.
Al acceder al inquilino de la nube, el atacante pudo registrar una aplicación OAuth falsa con permisos elevados. Luego, el atacante agregó un conector de entrada malicioso dentro del servidor, junto con reglas de transporte, lo que le permitió enviar correo no deseado a través de dominios objetivo y evitar la detección. El conector entrante y las reglas de transporte también se han eliminado entre cada campaña para ayudar al atacante a pasar desapercibido.
Para ejecutar este ataque, el actor de amenazas pudo aprovechar cuentas de alto riesgo que no usaban autenticación multifactor. Este spam formaba parte de un esquema utilizado para engañar a las víctimas para que compraran suscripciones a largo plazo.
El protocolo de autenticación OAuth se usa cada vez más en los ataques
En la publicación de blog antes mencionada, Microsoft también dijo que estaba «supervisando la creciente popularidad del uso indebido de las aplicaciones OAuth». OAuth es un protocolo utilizado para acceder a sitios web o aplicaciones sin revelar su contraseña. Pero este protocolo ha sido abusado repetidamente por un actor malicioso para robar datos y fondos.
Anteriormente, los actores maliciosos usaban una aplicación OAuth maliciosa en una estafa conocida como «phishing de consentimiento». Esto implicaba engañar a las víctimas para que concedieran ciertos permisos a aplicaciones dañinas de OAuth. A través de esto, el atacante podría acceder a los servicios en la nube de las víctimas. En los últimos años, cada vez más ciberdelincuentes han utilizado aplicaciones OAuth maliciosas para defraudar a los usuarios, a veces con fines de phishing y otras veces con otros fines, como puertas traseras y redireccionamientos.
El actor detrás de este ataque realizó campañas de spam anteriores.
Microsoft descubrió que el actor de amenazas responsable del ataque de Exchange había estado ejecutando campañas de spam durante algún tiempo. En la misma publicación del blog de seguridad de Microsoft se afirmó que hay dos características asociadas con este atacante. El autor de la amenaza «genera programáticamente[s] mensajes que contienen dos imágenes con hipervínculos visibles en el cuerpo del correo electrónico», y utiliza «contenido dinámico y aleatorio inyectado en el cuerpo HTML de cada mensaje de correo electrónico para evadir los filtros de spam».
Aunque estas campañas se utilizaron para obtener acceso a la información de la tarjeta de crédito y engañar a los usuarios para que inicien suscripciones pagas, Microsoft dijo que no parece haber ninguna otra amenaza de seguridad planteada por este atacante en particular.
Las aplicaciones legítimas continúan siendo explotadas por los atacantes
La creación de versiones falsas maliciosas de aplicaciones confiables no es nada nuevo en el campo del cibercrimen. El uso de un nombre legítimo para engañar a las víctimas ha sido un método de estafa favorito durante muchos años, y personas de todo el mundo caen en este tipo de estafas a diario. Por ello, es fundamental que todos los usuarios de Internet utilicen medidas de seguridad adecuadas (incluida la autenticación multifactor) en sus cuentas y dispositivos para reducir el riesgo de sufrir un ciberataque.
