Los delincuentes intentan robar las credenciales de inicio de sesión de Microsoft 365 de las personas que trabajan en las empresas militares, de software de seguridad, de la cadena de suministro de fabricación, de atención médica y farmacéuticas de los EE.
Los empleados de estas empresas han estado recibiendo notificaciones de correo electrónico falsas, en las que se dice que alguien de su organización les envió un mensaje de voz.
El correo electrónico en sí parece provenir de dentro de la empresa, pero la empresa de seguridad en la nube ZScaler descubrió que el remitente real en realidad está abusando de un servicio de correo electrónico japonés para ocultar su dirección y su verdadera identidad. (se abre en una pestaña nueva).
Si la víctima muerde el anzuelo y hace clic en el archivo adjunto HTML en el correo electrónico, primero será redirigido a una verificación de CAPTCHA, cuyo objetivo es doble: evadir las herramientas anti-phishing y convencer a la víctima de su legitimidad.
Robo de credenciales
Una vez que la víctima pasa el captcha, se les redirige más (se abre en una pestaña nueva) al sitio de phishing real, una página de destino que se ve idéntica a la página de inicio de sesión de Microsoft 365. Es allí donde, si las víctimas ingresan sus credenciales, las compartirán con los atacantes.
Las cuentas de Microsoft 365 tienen una gran demanda entre los delincuentes, ya que ofrecen un tesoro de información valiosa que puede conducir a devastadores ataques de etapa dos. Los delincuentes pueden usarlo para implementar malware (se abre en una pestaña nueva) y ransomware, instale criptomineros en servidores con gran capacidad de cómputo e incluso realice ataques altamente destructivos a la cadena de suministro.
El ataque a la cadena de suministro de Solar Winds, que tuvo como objetivo a agencias gubernamentales, instituciones y varias empresas tecnológicas de alto perfil de EE. UU., todo comenzó con una cuenta de Microsoft 365 comprometida.
En diciembre de 2023, se descubrió un esfuerzo masivo de ciberespionaje que contaminó la cadena de suministro de software a través de una actualización manipulada del software SolarWinds. Atribuido a piratas informáticos rusos patrocinados por el estado, se descubrió que el ataque afectó a nueve agencias federales, además de muchas empresas del sector privado.
Ha habido varias audiencias en el Congreso sobre el hackeo de SolarWinds, y el incidente también condujo a sanciones a varias empresas rusas de ciberseguridad. Sin embargo, nadie ha podido determinar el verdadero alcance del ataque, en parte porque rastrear los pasos de los atacantes ha sido bastante desafiante.
Vía: BleepingComputer (se abre en una pestaña nueva)