Varios inquilinos de la nube que alojan servidores de Microsoft Exchange se han visto comprometidos por actores malintencionados que utilizan aplicaciones OAuth para propagar spam.
Servidores de Microsoft Exchange utilizados para propagar spam
El 23 de septiembre de 2022, se afirmó en una publicación de blog de seguridad de Microsoft que el atacante "la amenaza lanzó ataques de relleno de credenciales contra cuentas de alto riesgo que no tenían habilitada la autenticación multifactor (MFA) y aprovechó las cuentas de administrador no seguras para obtener acceso inicial ".
Al acceder al inquilino de la nube, el atacante pudo registrar una aplicación OAuth falsa con permisos elevados. Luego, el atacante agregó un conector de entrada malicioso dentro del servidor, así como reglas de transporte, lo que les dio la capacidad de propagar spam a través de dominios objetivo mientras evadía la detección. El conector de entrada y las reglas de transporte también se eliminaron entre cada campaña para ayudar al atacante a pasar desapercibido.
Para ejecutar este ataque, el actor de amenazas pudo aprovechar las cuentas de alto riesgo que no usaban la autenticación de múltiples factores. Este spam formaba parte de un esquema utilizado para engañar a las víctimas para que se suscribieran a largo plazo.
Protocolo de autenticación OAuth cada vez más utilizado en ataques
En la publicación de blog antes mencionada, Microsoft también declaró que ha estado "supervisando la creciente popularidad del abuso de la aplicación OAuth". OAuth es un protocolo que se utiliza para acceder a sitios web o aplicaciones sin tener que revelar su contraseña. Pero este protocolo ha sido abusado por un actor de amenazas varias veces para robar datos y fondos.
Anteriormente, los actores maliciosos usaban una aplicación OAuth maliciosa en una estafa conocida como "phishing de consentimiento". Esto implicaba engañar a las víctimas para que concedieran ciertos permisos a aplicaciones dañinas de OAuth. A través de esto, el atacante podría acceder a los servicios en la nube de las víctimas. En los últimos años, cada vez más ciberdelincuentes han estado utilizando aplicaciones OAuth maliciosas para estafar a los usuarios, a veces para realizar phishing y, a veces, para otros fines, como puertas traseras y redireccionamientos.
El actor detrás de este ataque ha realizado campañas de spam anteriores
Microsoft descubrió que el actor de amenazas responsable del ataque de Exchange había estado ejecutando campañas de correo electrónico no deseado durante algún tiempo. En la misma publicación del blog de seguridad de Microsoft se afirmó que hay dos características asociadas con este atacante. El actor de amenazas "genera programáticamente[s] mensajes que contienen dos imágenes visibles con hipervínculos en el cuerpo del correo electrónico ", y utiliza" contenido dinámico y aleatorio inyectado dentro del cuerpo HTML de cada mensaje de correo para evadir los filtros de spam ".
Aunque estas campañas se han utilizado para acceder a la información de la tarjeta de crédito y engañar a los usuarios para que inicien suscripciones pagas, Microsoft declaró que no parece haber más amenazas de seguridad planteadas por este atacante en particular.
Las aplicaciones legítimas continúan siendo explotadas por los atacantes
La creación de versiones falsas y maliciosas de aplicaciones confiables no es nada nuevo en el espacio del cibercrimen. El uso de un nombre legítimo para engañar a las víctimas ha sido un método de estafa favorito durante muchos años, con personas de todo el mundo que caen en este tipo de estafas a diario. Por eso es fundamental que todos los usuarios de Internet empleen medidas de seguridad adecuadas (incluida la autenticación multifactor) en sus cuentas y dispositivos para reducir las posibilidades de sufrir un ciberataque.
Noticias relacionadas: