Microsoft tomó más de 6 dominios que usaron estafas COVID-19 para secuestrar cuentas de Office 365

Microsoft Took Over Six Domains COVID-19 Scam

En diciembre de 2019, un grupo de ciberdelincuentes comenzó una inteligente campaña de phishing dirigida a organizaciones en 62 países de todo el mundo. Su objetivo era secuestrar algunas cuentas de Office 365 y obtener acceso a cualquier cosa, desde listas de contactos hasta archivos confidenciales. Microsoft notó el ataque y tomó medidas para proteger a sus clientes. La campaña se detuvo inicialmente, pero desafortunadamente, las medidas funcionaron solo por un corto tiempo, y los piratas informáticos regresaron con otra ola de ataques.

Sorprendentemente o no, Microsoft volvió a la acción, y después de identificar algunos de los dominios utilizados durante la campaña, presentó acciones legales y solicitó tomar el control de ellos. Según un documento judicial que ZDNet publicó el martes, el gigante del software ahora controla seis dominios que hasta hace poco pertenecían a los delincuentes.

Estas son definitivamente buenas noticias, pero veamos si la decisión de la corte pondrá fin a los ataques de los criminales para siempre.

Una estafa de phishing COVID-19 se dirige a usuarios de Office 365

La estafa comenzó con un correo electrónico de ingeniería social. Los mensajes indicaban que un empleado de la organización o un socio de confianza está compartiendo un documento de Office 365, e inicialmente, los objetivos se hicieron pensar que al hacer clic en el enlace del correo electrónico, verían algo así como un informe financiero trimestral. Sin embargo, en medio de la pandemia de coronavirus, los piratas informáticos comenzaron a disfrazar sus enlaces maliciosos como documentos comerciales relacionados con COVID-19.

Como puede imaginar, el enlace en el correo electrónico no condujo a un documento de Office 365 de ninguna descripción. Según ZDNet, primero envió a los usuarios al formulario de inicio de sesión legítimo de Microsoft, y después de una autenticación exitosa, los redirigió a uno de los dominios incautados.

Un ataque de phishing con un giro

El objetivo final de los atacantes era hacerse cargo de la cuenta de Office 365 del objetivo, pero curiosamente, no lo hicieron con la ayuda de las credenciales de inicio de sesión. En cambio, lo hicieron a través de aplicaciones maliciosas de Office 365 alojadas en los dominios que ahora posee Microsoft.

El uso eficiente de Office 365 en ciertas organizaciones depende de varias aplicaciones que mejoran la funcionalidad o seguridad del servicio, y los usuarios no son ajenos a conectarlos a sus cuentas. Todas las aplicaciones de Office 365 solicitan permisos antes de conectarse a la cuenta del usuario, y las aplicaciones maliciosas de los delincuentes no fueron la excepción. Engañadas por el aire de legitimidad creado por el diseño de las aplicaciones, las víctimas que cayeron en la estafa dieron a los cibercriminales acceso más o menos ilimitado a sus correos electrónicos, archivos, listas de contactos y configuraciones. Y lo hicieron sin exponer sus contraseñas.

Fue un ataque sofisticado de Business Email Compromise (BEC), y es difícil incluso imaginar cuánto podría haber costado. La incautación de los dominios maliciosos significa que las aplicaciones ya no están activas, y la campaña se ha detenido por ahora, pero desafortunadamente, estamos luchando por ver qué podría impedir que los cibercriminales registren nuevos dominios y renueven su esfuerzo en cualquier momento.

Las aplicaciones maliciosas de Office 365 representan un vector de ataque inusual y relativamente nuevo, y como puede ver, puede ser despiadadamente efectivo. Las empresas y organizaciones que usan los servicios de Microsoft no deberían subestimarlo y deben incluirlo en sus modelos de amenazas lo más rápido posible.

July 10, 2020
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.