La empresa Volexity está informando sobre una oleada de ataques que se están realizando a cuentas de Microsoft 365 aprovechándose de los sistemas de identificación OAuth 2.0. La única buena noticia es que, tal y como lo han desvelado, están detectando los ataques en usuarios muy concretos. De todas formas, no habría que bajar la guardia por si también llegase a ser un método de acción que se utilizara para poner en peligro las cuentas de usuarios comunes.
Así funciona este sistema
Como te indicamos, lo que menciona Volexity es que estos ataques se están dirigiendo a cuentas de Microsoft 365 de personas que trabajan únicamente en organizaciones que cumplan con una de dos características. La primera es que estén relacionadas, de alguna manera, con Ucrania. La segunda se trata de aquellas organizaciones que tengan algún tipo de conexión con los derechos humanos. Como ya te puedes imaginar, los hackers que están usando este ataque corresponden, según la información difundida, a Rusia. Con ello estarían buscando dañar a sus enemigos a través de un sistema de phishing del cual es conveniente estar alerta.
En esta amenaza, el hacker comienza haciéndose pasar por una persona de confianza, en este caso oficiales de los respectivos países a los que pertenecen las víctimas. Ese primer contacto lo lleva a cabo a través de herramientas de mensajería, como WhatsApp. Lo que intenta el hacker hablando con su víctima son dos posibles cosas. La primera de ellas es tratar de obtener los códigos de autorización de Microsoft, lo cual no hay duda de que puede llegar a ser muy complicado. La segunda de las maniobras consiste en lograr que la víctima haga clic en un enlace malicioso que le robará los códigos de acceso en cuestión.
Una maniobra de riesgo
En ocasiones respiramos tranquilos cuando vemos que este tipo de amenazas comienzan con un contacto o un enlace de phishing. Porque pensamos que “nunca hacemos clic” o que no respondemos a personas desconocidas por muy reales que parezcan. No obstante, a la hora de la verdad, no existe seguridad completa de que no vayamos a vernos en una situación de riesgo. En el caso de las víctimas de este incidente, los hackers elaboraban perfiles tan convincentes que, al final, conseguían salirse con la suya de una u otra manera. Por ejemplo, en este caso, uno de los pretextos para enviar direcciones web con phishing era decirles que tenían que hacer clic en ese enlace para entrar en una videollamada.
A continuación, el hacker le envía a la víctima un archivo PDF y una dirección web para realizar su identificación con el sistema de Microsoft 365. Pero en ese punto todavía no se han robado los datos. Después de esto, la víctima llega a una versión web de Visual Studio Code donde se indica que el sistema no está alojado ni supervisado por Microsoft y se proporciona un código. Según la información, ese código se tiene que introducir en Visual Studio Code, pero lo que hará el hacker en este punto será convencer a la víctima para que le proporcione el código en cuestión. Lo que no sabe la víctima es que ese código forma parte de un sistema de autorización válido durante un periodo de 60 días. Con ese código, los hackers pueden acceder a un token de identificación que les dará todos los permisos que tiene su víctima.
A partir de ese punto pueden entrar en juego distintos procesos que acabarán llevando a que los hackers tengan control sobre las cuentas de Microsoft 365 de las víctimas. Como forma de evitar que esto se convierta en un problema a nivel global, desde la empresa de seguridad recomiendan que entidades y usuarios configuren el programa para que solo se pueda usar en determinados dispositivos autorizados. Eso debería bloquear el posible robo de cuentas por parte de los atacantes.
Y, por supuesto, no hay que olvidar los consejos habituales de no confiar en enlaces que nos manden y, ni mucho menos, seguir instrucciones de dudosa procedencia. Pero posiblemente convenga recordarlo una vez más a la vista de cómo, por lo que parece, hay muchas personas de las organizaciones atacadas que han caído víctimas de este ataque.
Deja una respuesta