Una nueva ola de ciberataques está dirigida a usuarios de Microsoft 365 a través de mensajes en Signal y WhatsApp, donde los hackers se hacen pasar por funcionarios gubernamentales para acceder a las cuentas de sus víctimas.
Según un informe de Bleeping Computer, estos actores maliciosos, que se cree que son rusos que fingen ser oficiales políticos o diplomáticos europeos, están contactando a empleados de organizaciones que trabajan en temas relacionados con Ucrania y derechos humanos. Su objetivo es engañar a las víctimas para que hagan clic en un enlace de phishing de OAuth que los llevará a autenticar sus credenciales de Microsoft 365.
Este esquema de fraude, descubierto por la firma de ciberseguridad Volexity, se ha centrado principalmente en organizaciones vinculadas a Ucrania, aunque este enfoque podría extenderse para robar datos de usuarios o tomar control de dispositivos.
Cómo funciona el ataque de OAuth de Microsoft 365
El ataque generalmente comienza con las víctimas recibiendo un mensaje a través de Signal o WhatsApp de un usuario que se presenta como un funcionario político o diplomático, invitándolos a una videollamada o conferencia para discutir asuntos relacionados con Ucrania.
De acuerdo con Volexity, los atacantes pueden reclamar ser de la Misión de Ucrania ante la Unión Europea, la Delegación Permanente de la República de Bulgaria ante la OTAN o la Representación Permanente de Rumanía ante la Unión Europea. En una de las variantes del ataque, la campaña inicia con un correo electrónico enviado desde una cuenta gubernamental ucraniana hackeada, seguido de comunicados a través de Signal y WhatsApp.
Una vez que se establece el contacto, los actores maliciosos envían a las víctimas instrucciones en PDF junto con una URL de phishing de OAuth. Al hacer clic en ella, se le pide al usuario que inicie sesión en Microsoft y aplicaciones de terceros que utilizan OAuth de Microsoft 365. Luego, son redirigidos a una página de aterrizaje con un código de autenticación que deben compartir para ingresar a la reunión. Este código, que es válido durante 60 días, permite a los atacantes acceder a correos electrónicos y otros recursos de Microsoft 365, incluso si las víctimas cambian sus contraseñas.
Cómo detectar el ataque de OAuth de Microsoft 365
Este ataque es uno de varios recientes que abusan de la autenticación de OAuth, lo que puede complicar su identificación como sospechoso, al menos desde un punto de vista técnico. Volexity recomienda establecer políticas de acceso condicional en las cuentas de Microsoft 365 que permitan el acceso solo a dispositivos aprobados, además de habilitar alertas de inicio de sesión.
Los usuarios deben ser cautelosos con las tácticas de ingeniería social que juegan con la psicología humana para llevar a cabo con éxito ataques de phishing y otros tipos de ciberataques. Ejemplos incluyen mensajes que son inusuales o fuera de carácter, especialmente de un remitente conocido o de confianza; comunicaciones que provocan una respuesta emocional (como miedo o curiosidad); y solicitudes urgentes o ofertas que parecen demasiado buenas para ser verdad.
Un manual de ingeniería social de CSO aconseja adoptar una «mentalidad de cero confianza» y estar atentos a señales comunes como errores gramaticales y ortográficos y instrucciones que piden hacer clic en enlaces o abrir adjuntos. Las capturas de pantalla de los mensajes de Signal y WhatsApp compartidas por Volexity muestran pequeños errores que revelan su potencial fraude.
