Los actores de amenazas realizan un ataque AiTM para rastrear las cuentas de Microsoft 365 en busca de estafas BEC

Los investigadores de seguridad han descubierto una nueva campaña de compromiso de correo electrónico comercial (BEC) que consiste en técnicas avanzadas de phishing con Adversario en el Medio (AiTM). Esta operación se emplea para piratear las cuentas de Microsoft 365 de los ejecutivos de negocios, aunque en realidad están protegidas por MFA.

Para desviar una gran transacción a sus cuentas bancarias, los delincuentes cibernéticos pueden responder a los correos electrónicos en el momento exacto mediante el seguimiento de las comunicaciones de los empleados de alto rango, como los directores ejecutivos o los directores financieros de las grandes organizaciones, accediendo a sus cuentas.

Este tipo de ataques de compromiso de correo electrónico comercial son bastante comunes cuando los piratas informáticos envían un correo electrónico desde la cuenta pirateada en el momento final. En tales casos, se solicita a los remitentes del fondo que realicen la transacción en la cuenta que pertenece a la de los piratas informáticos.

Al objetivo de estos correos electrónicos de phishing se les dice que la cuenta bancaria corporativa donde normalmente se realiza el pago ha sido congelada debido a una inspección financiera. También se les proporcionan nuevas instrucciones de pago y se les pide que cambien el destino de la cuenta bancaria. No obstante, las personas detrás de esta nueva cuenta bancaria son los piratas informáticos que roban el dinero.

Para que la campaña tenga éxito al engañar a los destinatarios, los atacantes secuestran hilos de correo electrónico y utilizan portales de typosquatting que tienden a pasar rápidamente como genuinos a los representantes legales de CCed que conocen al objetivo, vinculándolos en el intercambio.

Del compromiso a la persistencia de MFA

Los ejecutivos de la compañía comenzaron a ser asaltados con un correo electrónico de phishing diseñado para parecer que se originó en DocuSign, una plataforma de administración de acuerdos electrónicos utilizada ampliamente en entornos corporativos.

Aunque el correo electrónico no se adelanta a las comprobaciones de DMARC, Mitiga notó que las configuraciones incorrectas de seguridad comunes introducidas para disminuir las alertas de spam de falsos positivos de DocuSign ayudan a que se entregue en la bandeja de entrada del objetivo.