Phishers aprovechan Microsoft OAuth para redirigir URL a páginas maliciosas
- Endpoint
Los kits de phishing Tycoon y EvilProxy aprovechan OAuth para obtener acceso no autorizado y persistente a cuentas y datos. Los atacantes abusan de una amplia gama de plataformas en línea para crear y alojar páginas de phishing, incluidos entornos sin servidor basados en la nube y sitios de creación de sitios web.
Durante el último mes, los analistas de amenazas de Barracuda han identificado varias amenazas notables basadas en el correo electrónico dirigidas a organizaciones de todo el mundo. Entre estas amenazas se incluyen los kits de phishing Tycoon y EvilProxy que aprovechan Microsoft OAuth para acceder y redirigir URL a páginas maliciosas.
OAuth es un estándar que permite a los usuarios iniciar sesión en aplicaciones de terceros, como Microsoft 365, sin compartir sus contraseñas, lo que ha abierto una nueva superficie de ataque. Los investigadores están observando kits avanzados de phishing como servicio (PhaaS) que aprovechan las debilidades de las implementaciones de OAuth para obtener acceso no autorizado y persistente a cuentas y datos.
Los ataques OAuth observados son ataques PhaaS a gran escala, automatizados y optimizados, basados en ingeniería social. Para llevar a cabo el ataque, lo atacantes modifican la URL de Microsoft OAuth. Estos ataques suelen requerir que los atacantes registren aplicaciones maliciosas en su inquilino de Entra ID (Azure AD), las cuales están cuidadosamente diseñadas para imitar aplicaciones o servicios legítimos.
Abusan el flujo OAuth de Microsoft para solicitar el consentimiento automático del usuario para permisos (o ámbitos) muy amplios, como el acceso a correos electrónico, archivos, calendarios, chats de Teams o API de administración. Una vez que el usuario concede su consentimiento sin saberlo, el atacante puede obtener acceso a la cuenta del usuario sin necesidad de su contraseña o autenticación multifactor, ya que el acceso se concede a través de token OAuth.
En un escenario más grave, el atacante puede eludir por completo el flujo OAuth y, en su lugar, redirigir al usuario a una página de inicio de sesión falsificada que imita fielmente la pantalla de inicio de sesión oficial de Microsoft. Si el usuario introduce sus credenciales sin saberlo, el atacante las captura, lo que le permite obtener acceso completo a la cuenta.
Abuso de plataformas fiables
Anteriormente, el equipo de amenazas de Barracuda informó sobre cómo los atacantes abusan de plataformas confiables de colaboración en la nube, gestión de documentos y formularios en línea, aprovechando su accesibilidad y reputación para ayudar a las campañas de phishing a eludir los filtros de seguridad y ganarse la confianza de los usuarios. Pero ahora también se está viendo cómo los atacantes abusan de las plataformas de alojamiento de código y computación sin servidor, el desarrollo de sitios web y las herramientas de productividad en línea para crear y distribuir sitios de phishing y contenido malicioso.
En paralelo, los atacantes también están aprovechando servicios de confianza de Google, como Classroom y Meet, para lanzar campañas masivas de spam y estafas. Estas acciones suelen incluir la creación de clases falsas o el envío de invitaciones con títulos llamativos que promocionan supuestas oportunidades de negocio. Al incluir números de WhatsApp en las descripciones, los estafadores logran trasladar la conversación fuera de las plataformas seguras, explotando la credibilidad de Google y eludiendo los filtros de seguridad tradicionales para ejecutar fraudes multiplataforma.
