Ha surgido esquema de fraude de correo electrónico empresarial, dirigido específicamente hacia directores ejecutivos y directores financieros que utilizan Microsoft Office 365 combina el phishing con un ataque de intermediario para eludir la autenticación multifactor.

Estos ataques aprovechan una falla de diseño de Office 365 que permite a los delincuentes comprometer cuentas con MFA habilitado y lograr persistencia en los sistemas de las víctimas al agregar un nuevo método de autenticación comprometido que les permite regresar en cualquier momento. Esto es según los investigadores de seguridad de Mitiga, quienes aparentemente detectaron tanto la campaña como la falla de Microsoft 365.

Primero, la víctima recibe un correo electrónico de phishing que parece ser de DocuSign e incluso tiene una dirección legítima de «docusign.net». Obviamente se trata de una dirección de correo electrónico falsificada (spoofing).

En la investigación de Mitiga, los investigadores notaron que Office 365 marcó este correo electrónico como un intento de phishing, pero fue imposible bloquearlo debido a una mala configuración en el entorno del cliente.

El correo electrónico falso de DocuSign incluye un enlace «Revisar documento», que dirige a la víctima a un servidor controlado por el atacante ―este resultó estar en Singapur. Después de hacer clic en el enlace malicioso, el ejecutivo recibe un aviso para ingresar su autenticación de Azure.

Es probable que esta parte del ataque utilice evilginx2 o un conjunto de herramientas similar para el phishing 2FA y señalaron que Microsoft había advertido previamente sobre los delincuentes que utilizan esta técnica de intermediario para el fraude financiero.

En este punto, los delincuentes pueden comenzar a husmear en el entorno de Office 365 de la víctima, escaneando correos electrónicos de Outlook y archivos de SharePoint. Buscan cualquier cosa que indique una próxima transacción ―mensajes, contratos, etc.― para finalmente lograr un fraude financiero.

Además, después de robar las credenciales de la víctima, el sitio malicioso redirige a la víctima a una página de error falsa de DocuSign con la esperanza de que la víctima falle en percatarse que cayó en una suplantación de identidad y así se evite éste active las mitigaciones de seguridad.

Esto también significa que la cookie de sesión robada sigue siendo válida y el atacante puede establecer persistencia en el entorno de Office 365.

Los delincuentes usan una falla de diseño en el MFA de Office 365 para mantener la persistencia, lo que les permite agregar una nueva aplicación de autenticación conectada al perfil del usuario comprometido sin el conocimiento de la víctima.

El problema existe porque una vez que se ha autorizado una sesión a través de MFA, Microsoft omite requirir un nuevo desafío de MFA durante la duración del token de MFA.

Fuente y más detalles en: The Register.