Una herramienta especial de phishing rompe la protección MFA para cuentas

27. agosto 2023
| No hay comentarios
Una herramienta de phishing especial rompe la protección MFA de las cuentas: imagen de Franz Bachinger de Pixabay

Compartir publicación

Los ciberdelincuentes utilizan cada vez más la autenticación multifactor (MFA) para secuestrar cuentas ejecutivas. Esto es lo que descubrieron los expertos en seguridad informática de Proofpoint. Vieron un aumento de más del 100 por ciento en los últimos seis meses en incidentes en los que los ciberdelincuentes pudieron obtener acceso a las cuentas en la nube de ejecutivos de alto nivel en las principales empresas.

Más de 100 empresas en todo el mundo con un total de más de 1,5 millones de empleados se ven afectadas. Los delincuentes utilizaron EvilProxy para sus ataques. Se trata de una herramienta de phishing con una arquitectura de proxy inverso que permite a los atacantes robar credenciales protegidas por MFA y cookies de sesión.

Los atacantes evitan la protección MFA

🔎 Proxy inverso transparente de AitM: así es como los atacantes eluden la protección MFA: el enlace de phishing conduce a una página de inicio de sesión falsa en la que un usuario transmite el código MFA correcto (Imagen: Proofpoint)

Los expertos de Proofpoint evalúan estos nuevos ataques: “Las credenciales de los empleados son muy buscadas por los ciberdelincuentes: pueden proporcionar acceso a información valiosa o sensible de la empresa y a cuentas de usuario. Si bien las credenciales generalmente ofrecen una variedad de vectores de ataque, no todas las credenciales son igualmente valiosas. Las investigaciones muestran que los delincuentes suelen atacar funciones o departamentos específicos. Para ello, tienen que desarrollar constantemente sus métodos y técnicas, por ejemplo para anular la autenticación multifactor.

Contrariamente a la creencia popular, MFA no es una panacea contra los ataques sofisticados basados ​​en la nube. Una vez dentro, los actores maliciosos pueden esconderse alrededor de una organización sin ser detectados y lanzar ataques sofisticados a voluntad. Los kits de phishing de derivación de MFA disponibles en el mercado ahora son omnipresentes, lo que permite que incluso los delincuentes sin conocimientos técnicos lancen una campaña de phishing y engañen a los empleados para que entreguen las credenciales de sus cuentas”.

Abuso de proxy inverso

El uso cada vez mayor de MFA ha llevado a la proliferación de kits y herramientas de phishing que ayudan a eludir esta capa de seguridad. Los ciberdelincuentes utilizan cada vez más kits de phishing Adversary-in-the-Middle (AitM) como EvilProxy para robar credenciales y cookies de sesión en tiempo real.

La eficacia de EvilProxy como herramienta de phishing es bien conocida. Sin embargo, los expertos de Proofpoint identificaron una brecha preocupante en la conciencia de los líderes de seguridad de TI sobre los riesgos y las posibles consecuencias, como Business Email Compromise (BEC) y Account Takeover (ATO).

Fase 1: Phishing con EvilProxy

🔎 La cadena de ataque en todos los pasos individuales (Imagen: Proofpoint).

Desde principios de marzo, los especialistas de Proofpoint han estado monitoreando una campaña que utiliza EvilProxy para atacar miles de cuentas de usuarios de Microsoft 365. El volumen total de esta campaña es impresionante: entre marzo y junio de 2023, se enviaron aproximadamente 120.000 correos electrónicos de phishing a cientos de organizaciones específicas en todo el mundo.

En la fase de phishing de sus ataques, los delincuentes utilizaron tres técnicas principales:

  • Suplantación de marca: los remitentes se hacen pasar por servicios y aplicaciones confiables, p. B. Soluciones Concur, DocuSign y Adobe.
  • Bloqueo de escaneo: los atacantes utilizaron protección contra robots de escaneo de seguridad cibernética para dificultar que las soluciones de seguridad analicen sus sitios web maliciosos.
  • Cadena de infección de varias etapas: los atacantes redirigen el tráfico a través de redirecciones legítimas de acceso abierto.

Para ocultar sus correos electrónicos de las herramientas de escaneo automático, los atacantes utilizan una codificación de correo electrónico especial y sitios web legítimos que han sido pirateados para cargar su código PHP y descifrar la dirección de correo electrónico de un usuario específico.

Etapa 2: compromiso de la cuenta

La lista de usuarios objetivo incluye muchos objetivos de alto nivel, p. B. Directores generales, directores corporativos, ejecutivos de nivel C y vicepresidentes en empresas líderes. Estos individuos son particularmente valorados por los delincuentes porque potencialmente tienen acceso a datos y activos confidenciales. De los cientos de usuarios comprometidos, aproximadamente el 39 por ciento eran empleados de alta dirección (“nivel C”), incluido el 17 por ciento directores financieros y el 9 por ciento presidentes y directores ejecutivos. Los atacantes también muestran interés en la gerencia de nivel inferior, centrando sus esfuerzos en los empleados con acceso a activos o información confidencial.

Fase 3: Abuso tras compromiso

Una vez que los atacantes obtienen acceso a la cuenta de una víctima, se establecen en el entorno de nube de la víctima. En múltiples ocasiones, los atacantes utilizaron una aplicación nativa de Microsoft 365 para realizar manipulaciones MFA. Al utilizar "Mis inicios de sesión", los atacantes pudieron agregar su propio método de autenticación multifactor, proporcionando acceso persistente a las cuentas de usuario comprometidas. Prefieren el método a través de una aplicación de autenticación con mensaje y código.

Más en Proofpoint.com

 

Acerca de Proofpoint

Proofpoint, Inc. es una empresa líder en ciberseguridad. El enfoque de Proofpoint es la protección de los empleados. Porque estos significan el mayor capital para una empresa, pero también el mayor riesgo. Con un conjunto integrado de soluciones de ciberseguridad basadas en la nube, Proofpoint ayuda a las organizaciones de todo el mundo a detener las amenazas dirigidas, proteger sus datos y educar a los usuarios de TI empresariales sobre los riesgos de los ciberataques.

 

Artículos relacionados con el tema

Plataforma de ciberseguridad con protección para entornos 5G

Trend Micro, especialista en ciberseguridad, presenta su enfoque basado en plataformas para proteger la superficie de ataque en constante expansión de las organizaciones, incluida la seguridad. ➡ Leer más

Manipulación de datos, el peligro subestimado

Cada año, el Día Mundial de la Copia de Seguridad, el 31 de marzo, sirve como recordatorio de la importancia de tener copias de seguridad actualizadas y de fácil acceso. ➡ Leer más

Las impresoras como riesgo de seguridad

Las flotas de impresoras corporativas se están convirtiendo cada vez más en un punto ciego y plantean enormes problemas para su eficiencia y seguridad. ➡ Leer más

La Ley de IA y sus consecuencias para la protección de datos

Con la AI Act, se aprobó la primera ley para la IA y otorga a los fabricantes de aplicaciones de IA entre seis meses y ➡ Leer más

Sistemas operativos Windows: casi dos millones de ordenadores en riesgo

Ya no hay actualizaciones para los sistemas operativos Windows 7 y 8. Esto significa abrir brechas de seguridad y, por lo tanto, valer la pena y ➡ Leer más

La IA en Enterprise Storage combate el ransomware en tiempo real

NetApp es uno de los primeros en integrar inteligencia artificial (IA) y aprendizaje automático (ML) directamente en el almacenamiento primario para combatir el ransomware. ➡ Leer más

Conjunto de productos DSPM para seguridad de datos Zero Trust

La gestión de la postura de seguridad de los datos (DSPM para abreviar) es crucial para que las empresas garanticen la resiliencia cibernética frente a la multitud. ➡ Leer más

Cifrado de datos: más seguridad en plataformas en la nube

Las plataformas en línea suelen ser blanco de ataques cibernéticos, como ocurrió recientemente con Trello. 5 consejos garantizan un cifrado de datos más eficaz en la nube ➡ Leer más

Noticias de prensa
, , , , , ,