Casi 8 de cada 10 usuarios de Microsoft 365 sufre al menos un incidente de control de cuentas con clientes HTTP

Si bien desde 2028 los clientes HTTP se han utilizado en intentos de apropiación de cuentas, según los investigadores de amenazas de Proofpoint esta práctica se ha disparado a lo largo del año pasado. A principios de 2024, se usaron en particular las variantes OkHTTP, pero a partir de marzo la variante de clientes HPPT utilizados en esta práctica se amplió.

Si en la primera mitad del año el 71% de los usuarios de Microsoft 365 sufrió al menos un intento de toma de control de cuentas con un cliente HTTP, en la segunda mitad del 2024 fueron ya el 78% de los usuarios. Casi 8 de cada 10. Y eso que el peor mes, siempre siguiendo los datos de la compañía, fue mayo, con millones de IP secuestradas desde las que se atacaron cuentas cloud.

Por fortuna, la mayor parte de este tipo de ataques son intentos de fuerza bruta que tienen bajas tasas de éxito. Aunque también se utilizan en otro tipo de ataques. Proofpoint detalla por ejemplo una campaña con el cliente HTTP Axios, que combinaba “ataques de precisión con técnicas AitM y logró una tasa media mensual de éxito del 38%, superando medidas como la autenticación multifactor”.

La campaña logró interceptar, transformar y cancelar el tráfico, además de robar credenciales y tokens, dirigiéndose “a ejecutivos, responsables financieros, gestores de cuentas y personal operativo de diversos sectores como el transporte, la construcción, las finanzas, la informática y la sanidad”. Proofpoint avisa de que los ciberdelincuentes seguirán adaptando sus estrategias para sacar el mayor partido a estas tecnologías.