La empresa de ciberseguridad Proofpoint ha detectado un fuerte incremento de tomas de control de cuentas de Microsoft 365, impulsadas por atacantes que abusan de las autorizaciones OAuth, un proceso de inicio de sesión legítimo de Microsoft.

Estas campañas comienzan con un mensaje inicial que incluye una URL incrustada en un botón, un texto con hipervínculo o dentro de un código QR. Cuando el usuario accede a la URL, se inicia una secuencia de ataque que aprovecha el proceso legítimo de autorización de dispositivos de Microsoft. Al usuario le llega un código de dispositivo, que puede mostrarse directamente en la página de destino o recibirse en un segundo correo electrónico enviado por el atacante. Los señuelos indican que el código es una contraseña de un solo uso (OTP) y dirigen al usuario a introducirlo en la URL de verificación de Microsoft. Cuando se hace, el token original queda validado, otorgando al atacante acceso a la cuenta de M365 objetivo.

El phishing mediante códigos de dispositivo abre la puerta a posibles robos de datos, movimientos laterales dentro de la red y compromisos persistentes. Proofpoint ya había detectado anteriormente actividad maliciosa dirigida y acciones limitadas de red teaming, es decir, prácticas controladas para probar la seguridad de este tipo. Aunque no se trata de una técnica completamente nueva, para los expertos de Proofpoint ha resultado llamativo ver su uso por parte de múltiples grupos como TA2723, el grupo proestado ruso UNK_AcademicFlare y otros.

Según los investigadores de Proofpoint, existen herramientas que facilitan la expansión de estos ataques, como los kits SquarePhish2 y Graphish, así como aplicaciones maliciosas a la venta en foros de hacking que automatizan y amplían el phishing con códigos de dispositivo, reduciendo las barreras técnicas para los atacantes.

La medida de mitigación más eficaz consiste en bloquear por completo el flujo de códigos de dispositivo. Cuando esto no sea viable, puede adoptarse un enfoque basado en listas de permitidos, limitado a casos de uso específicos y justificados, en el que se exija que los inicios de sesión se realicen desde dispositivos conformes o previamente registrados. Todo ello debe complementarse con un refuerzo de la concienciación y la formación de los usuarios frente a este tipo de ataques de phishing no tradicionales.

“Esta tendencia marca una evolución importante en el phishing, que desplaza los ataques del robo de contraseñas hacia el abuso de flujos de autenticación de confianza, mientras se hace creer a los usuarios que están protegiendo sus cuentas”, analizan los investigadores de Proofpoint. “Recomendamos a las organizaciones reforzar los controles sobre OAuth, así como la concienciación y formación de los usuarios frente a estos riesgos emergentes. Este aspecto es especialmente relevante en un contexto en el que se están adoptando de forma creciente mecanismos de autenticación multifactor resistentes al phishing, como los basados en el estándar FIDO, ya que el abuso de los flujos de autenticación OAuth previsiblemente continuará aumentando a medida que estas tecnologías se generalicen”.