Varios inquilinos de la nube que alojan servidores de Microsoft Exchange se han visto comprometidos por actores malintencionados que utilizan aplicaciones OAuth para propagar spam.
Servidores de Microsoft Exchange utilizados para propagar spam
El 23 de septiembre de 2022, se indicó en un Publicación de blog de seguridad de Microsoft que el atacante "actor de amenazas lanzó ataques de relleno de credenciales contra cuentas de alto riesgo que no tenían autenticación multifactor (MFA) habilitó y aprovechó las cuentas de administrador no seguras para obtener acceso inicial".
Al acceder al inquilino de la nube, el atacante pudo registrar una aplicación OAuth falsa con permisos elevados. Luego, el atacante agregó un conector de entrada malicioso dentro del servidor, así como reglas de transporte, lo que les dio la capacidad de propagar spam a través de dominios objetivo mientras evadía la detección. El conector de entrada y las reglas de transporte también se eliminaron entre cada campaña para ayudar al atacante a pasar desapercibido.
Para ejecutar este ataque, el actor de amenazas pudo aprovechar las cuentas de alto riesgo que no usaban la autenticación de múltiples factores. Este spam formaba parte de un esquema utilizado para engañar a las víctimas para que se suscribieran a largo plazo.
Protocolo de autenticación OAuth cada vez más utilizado en ataques
En la publicación de blog antes mencionada, Microsoft también declaró que ha estado "supervisando la creciente popularidad del abuso de la aplicación OAuth". OAuth es un protocolo que se utiliza para acceder a sitios web o aplicaciones sin tener que revelar su contraseña. Pero este protocolo ha sido abusado por un actor de amenazas varias veces para robar datos y fondos.
Anteriormente, los actores maliciosos usaban una aplicación OAuth maliciosa en una estafa conocida como "phishing de consentimiento". Esto implicaba engañar a las víctimas para que concedieran ciertos permisos a aplicaciones dañinas de OAuth. A través de esto, el atacante podría acceder a los servicios en la nube de las víctimas. En los últimos años, cada vez más ciberdelincuentes utilizan aplicaciones OAuth maliciosas para estafar usuarios, a veces para realizar phishing, y a veces para otros fines, como puertas traseras y redirecciones
El actor detrás de este ataque ha realizado campañas de spam anteriores
Microsoft descubrió que el actor de amenazas responsable del ataque de Exchange había estado ejecutando campañas de correo electrónico no deseado durante algún tiempo. Se decía en el mismo Publicación de blog de seguridad de Microsoft que hay dos características asociadas con este atacante. El actor de amenazas "genera mediante programación mensajes que contienen dos imágenes con hipervínculos visibles en el correo electrónico body", y usa "contenido dinámico y aleatorio inyectado dentro del cuerpo HTML de cada mensaje de correo para evadir el spam filtros".
Aunque estas campañas se han utilizado para acceder a la información de la tarjeta de crédito y engañar a los usuarios para que comiencen a pagar suscripciones, Microsoft declaró que no parece haber más amenazas de seguridad planteadas por este particular agresor.
Las aplicaciones legítimas continúan siendo explotadas por los atacantes
La creación de versiones falsas y maliciosas de aplicaciones confiables no es nada nuevo en el espacio del cibercrimen. El uso de un nombre legítimo para engañar a las víctimas ha sido un método de estafa favorito durante muchos años, con personas de todo el mundo que caen en este tipo de estafas a diario. Por este motivo, es fundamental que todos los usuarios de Internet empleen medidas de seguridad adecuadas (incluidas autenticación multifactor) en sus cuentas y dispositivos para que las posibilidades de encontrarse con un ataque cibernético se bajan.