Los piratas informáticos se están apoderando de las cuentas de los directores ejecutivos con aplicaciones OAuth deshonestas
Los analistas de amenazas observaron una nueva campaña llamada "OiVaVoii", que se dirige a ejecutivos y directores ejecutivos de empresas con aplicaciones OAuth maliciosas y señuelos de phishing personalizados enviados desde cuentas de Office 365 secuestradas.
Según un informe de Proofpoint, la campaña aún continúa, aunque Microsoft está monitoreando la actividad y ya bloqueó la mayoría de las aplicaciones.
El impacto de las adquisiciones de cuentas ejecutivas varía desde el movimiento lateral a través de la red y el phishing interno hasta la implementación de ransomware y los incidentes de compromiso de correo electrónico corporativo.
Uso de la aplicación OAuth
OAuth es un estándar para la autenticación y autorización basadas en tokens, que elimina la necesidad de ingresar contraseñas de cuentas.
Las aplicaciones que usan OAuth requieren permisos específicos, como permisos de lectura y escritura de archivos, acceso a calendario y correo electrónico, y permiso de envío de correo electrónico.
El propósito de este sistema es ofrecer una mayor facilidad de uso y conveniencia mientras se mantiene un alto nivel de seguridad dentro de entornos confiables al reducir la exposición de las credenciales.
Con los tokens de OAuth, las aplicaciones de terceros basadas en la nube pueden acceder a los puntos de datos necesarios para brindar a las empresas capacidades de productividad sin obtener las contraseñas de los usuarios.
Los actores detrás de la campaña OiVaVoii utilizaron al menos cinco aplicaciones OAuth maliciosas, cuatro de las cuales están actualmente bloqueadas: "Actualizar", "Documento", "Compartido" e "Información de usuario".
Fuente: punto de prueba
Tres de estas aplicaciones fueron creadas por editores verificados, lo que indica que los actores de amenazas comprometieron la cuenta de un inquilino legítimo de Office.
Luego, los actores de amenazas usaron las aplicaciones para enviar solicitudes de permiso a ejecutivos de alto rango en las organizaciones objetivo. En muchos casos, los destinatarios aceptaron las solicitudes sin ver nada sospechoso en ellas.
Cuando las víctimas presionan el botón Aceptar, los atacantes usan el token para enviar correos electrónicos desde sus cuentas a otros empleados dentro de la misma organización.
Fuente: punto de prueba
Si hacen clic en Cancelar, una manipulación en la URL de respuesta los redirige a la pantalla de consentimiento y los fija en la misma página hasta que aceptan la solicitud de permiso.
Proofpoint también menciona la probabilidad de que se produzcan ataques de proxy intermediarios que también podrían comprometer las credenciales de la cuenta del objetivo.
La campaña sigue activa
Cuatro de las aplicaciones OAuth maliciosas utilizadas por los actores de esta campaña han sido bloqueadas, pero se están creando y utilizando otras nuevas de la misma manera.
Además, los ejecutivos que ya se vieron comprometidos y accedieron a sus cuentas siguen siendo puntos de alto riesgo para las organizaciones afectadas.
Las empresas potencialmente comprometidas deben revocar permisos, eliminar aplicaciones, eliminar cualquier regla de buzón malicioso agregada por actores y buscar cualquier archivo eliminado.
Finalmente, todos los empleados deben estar capacitados para sospechar de las comunicaciones internas, especialmente los mensajes de ejecutivos de alto rango que no están en línea con sus prácticas comerciales estándar.
Descubre más contenido