Clicky

Hackers explotan OAuth para minería de criptomonedas y phishing

Ataque Microsoft Storm-1283

Se recomienda que las organizaciones apliquen la autenticación multifactor

Microsoft ha advertido que los adversarios están utilizando aplicaciones OAuth como herramienta de automatización para implementar máquinas virtuales (VM) para la minería de criptomonedas y lanzar ataques de phishing.

"Los actores de amenazas comprometen las cuentas de los usuarios para crear, modificar y otorgar altos privilegios a aplicaciones OAuth que pueden usar indebidamente para ocultar actividades maliciosas", dijo en un análisis el equipo de Microsoft Threat Intelligence.

"El uso indebido de OAuth también permite a los actores de amenazas mantener el acceso a las aplicaciones incluso si pierden el acceso a la cuenta inicialmente comprometida".

OAuth, abreviatura de Open Authorization, es un marco de autorización y delegación (a diferencia de la autenticación) que brinda a las aplicaciones la capacidad de acceder de forma segura a información de otros sitios web sin tener que entregar contraseñas.

En los ataques detallados por Microsoft, se ha observado que los actores de amenazas lanzan ataques de phishing o de pulverización de contraseñas contra cuentas mal protegidas con permisos para crear o modificar aplicaciones OAuth.

ataque Microsoft OAuth

Uno de esos adversarios es Storm-1283, que aprovechó una cuenta de usuario comprometida para crear una aplicación OAuth e implementar máquinas virtuales para criptominería. Además, los atacantes modificaron las aplicaciones OAuth existentes en la cuenta a la que tenían acceso agregando un conjunto adicional de credenciales para facilitar los mismos objetivos.

En otro caso, un actor no identificado comprometió las cuentas de los usuarios y creó aplicaciones OAuth para mantener la persistencia y lanzar ataques de phishing por correo electrónico que emplean un kit de phishing de adversario en el medio (AiTM) para robar cookies de sesión de sus objetivos y eludir las medidas de autenticación.

"En algunos casos, después de la actividad de reproducción de cookies de la sesión robada, el actor aprovechó la cuenta de usuario comprometida para realizar un reconocimiento de fraude financiero BEC abriendo archivos adjuntos de correo electrónico en la aplicación web Microsoft Outlook (OWA) que contienen palabras clave específicas como "pago" y "factura", dijo Microsoft.

Otros escenarios detectados por el gigante tecnológico tras el robo de cookies de sesión implican la creación de aplicaciones OAuth para distribuir correos electrónicos de phishing y realizar actividades de spam a gran escala. Microsoft está rastreando a este último como Storm-1286.

Para mitigar los riesgos asociados con dichos ataques, se recomienda que las organizaciones apliquen la autenticación multifactor (MFA), habiliten políticas de acceso condicional y auditen de forma rutinaria las aplicaciones y los permisos consentidos.

Jesus_Caceres