Los hackers se comunican con las víctimas a través de WhatsApp y Signal
Un nuevo ciberataque está apuntando a los usuarios de Microsoft 365 a través de mensajes de Signal y WhatsApp, y los piratas informáticos se hacen pasar por funcionarios del gobierno para obtener acceso a las cuentas.
Según informes de Bleeping Computer, actores maliciosos, que se cree que son rusos que se hacen pasar por funcionarios políticos o diplomáticos europeos, están contactando a empleados de organizaciones que trabajan en temas relacionados con Ucrania y los derechos humanos. El objetivo final es engañar a los objetivos para que hagan clic en un enlace de phishing de OAuth que los lleve a autenticar sus credenciales de Microsoft 365.
Esta estafa, descubierta inicialmente por la firma de ciberseguridad Volexity, se ha centrado específicamente en organizaciones relacionadas con Ucrania, pero un enfoque similar podría emplearse de forma más generalizada para robar datos de usuarios o apropiarse de dispositivos.
Cómo funciona el ataque OAuth de Microsoft 365
Este ataque generalmente comienza cuando los objetivos reciben un mensaje a través de Signal o WhatsApp de un usuario que se hace pasar por un funcionario político o diplomático con una invitación a una videollamada o conferencia para discutir temas relacionados con Ucrania.
Según Volexity, los atacantes podrían afirmar ser de la Misión de Ucrania ante la Unión Europea, de la Delegación Permanente de la República de Bulgaria ante la OTAN o de la Representación Permanente de Rumania ante la Unión Europea. En una variante, la campaña comienza con un correo electrónico enviado desde una cuenta pirateada del gobierno ucraniano, seguido de una comunicación a través de Signal y WhatsApp.
Una vez que se establece un hilo, los actores maliciosos envían a las víctimas instrucciones en PDF junto con una URL de phishing OAuth. Al hacer clic, se le solicita al usuario que inicie sesión en Microsoft y en aplicaciones de terceros que utilizan Microsoft 365 OAuth y se lo redirige a una página de destino con un código de autenticación, que se le indica que debe compartir para ingresar a la reunión. Este código, válido por 60 días, otorga a los atacantes acceso al correo electrónico y otros recursos de Microsoft 365, incluso si las víctimas cambian sus contraseñas.
Cómo detectar el ataque OAuth de Microsoft 365
Este ataque es una de varias amenazas recientes que abusan de la autenticación OAuth, lo que puede dificultar su identificación como sospechoso, al menos desde un punto de vista técnico. Volexity recomienda configurar políticas de acceso condicional en cuentas de Microsoft 365 solo para dispositivos aprobados, así como habilitar alertas de inicio de sesión.
Los usuarios también deben tener cuidado con las tácticas de ingeniería social que se aprovechan de la psicología humana para llevar a cabo con éxito ataques de phishing y otros tipos de ciberataques. Los ejemplos incluyen mensajes que son inusuales o fuera de lo común, especialmente para un remitente que conoces o en quien confías, comunicaciones que provocan una respuesta emocional (como miedo o curiosidad) y pedidos que son urgentes u ofertas que son demasiado buenas para ser verdad.
Un experto en ingeniería social de CSO recomienda una mentalidad de confianza cero, así como estar atento a señales comunes como errores gramaticales y ortográficos e instrucciones para hacer clic en enlaces o abrir archivos adjuntos. Las capturas de pantalla de los mensajes de Signal y WhatsApp compartidas por Volexity muestran pequeños errores que los delatan como potencialmente fraudulentos.
