Campañas de phishing de Office 365 para robar credenciales de trabajadores remotos

Según el informe, los investigadores de seguridad cibernética han descubierto campañas de estafa de phishing de Microsoft Office 365 y explicaron que los atacantes detrás de este ataque se dirigen a los clientes de Office 365 mediante un mecanismo de campañas de phishing que utiliza mensajes de cebo camuflados como notificaciones que solicitan a los clientes que actualicen la configuración de VPN que usan para acceder a los activos de la compañía mientras trabaja desde casa.

Los investigadores explicaron que los delincuentes cibernéticos envían correos electrónicos de phishing en los buzones de los destinatarios específicos que suplantan las solicitudes de actualización de configuración de VPN enviadas por el soporte de TI de su empresa. El informe dice que este phishing se ha dirigido a hasta 15,000 según el investigador de la compañía de seguridad de correo electrónico “Seguridad anormal”

Los delincuentes cibernéticos usan estas estafas de suplantación de identidad debido a la gran afluencia de empleados que trabajan de forma remota y utilizan VPN para conectarse a los recursos de la empresa desde su hogar para compartir archivos o documentos con sus amigos o colegas y acceder al servidor de sus organizaciones. En realidad, la dirección de correo electrónico del remitente debe pertenecer a la dirección de correo electrónico de la organización o a los colegas de los empleados de la empresa. Pero los atacantes están falsificando la dirección de correo electrónico del remitente en correos electrónicos de phishing para que coincidan con los dominios de sus organizaciones objetivo.

Además, los atacantes detrás de las campañas de phishing de Office 365 envían correos electrónicos maliciosos que contienen algunos mensajes junto con hipervínculos que redirigen a los destinatarios a sitios web de aterrizaje de phishing, que está diseñado para permitir que los piratas informáticos roben sus credenciales de Office 365. Echemos un vistazo a las declaraciones de seguridad anormal en este asunto.

“Se han visto numerosas versiones de este ataque en diferentes clientes, desde diferentes correos electrónicos del remitente y desde diferentes direcciones IP. Sin embargo, todos estos ataques emplearon el mismo enlace de carga útil, lo que implica que fueron enviados por un solo atacante que controla el sitio web de phishing “.

Los ataques de phishing de Office 365 podrían tener una alta tasa de éxito en engañar a las víctimas potenciales, mientras que muchos destinatarios pueden hacer clic en dichos hipervínculos e iniciar sesión en sus cuentas de Office 365 para evitar perder el acceso remoto a los servidores de las organizaciones. Para hacer clic en dichos hipervínculos sospechosos, los empleados serán redirigidos en la página de inicio de sesión de Office 365 clonada que está alojada en el dominio propiedad de Microsoft “Web.core.windows.net” con el nombre de Azure Blob Storage. Esta plataforma está dirigida a los usuarios de Office 365 y afirma que es una artimaña perfecta ya que las páginas de destino obtendrán automáticamente su propio candado de página fuente debido al “certificado SSL comodín .web.core.windows.net”. Y los hackers detrás de esta estafa intentan engañar a los objetivos más sospechosos para que hagan clic en el certificado y vean que está organizado por Microsoft CA para “.web.core.windows.net” automáticamente. Sin embargo, no se debe confiar en las URL de este sitio y los usuarios solo deben iniciar sesión desde las páginas web afiliadas a su empresa principal.

Los expertos de Abnormal Security Company declararon que el atacante utiliza los subdominios de “Azure Blob Storage” para suplantar la identidad de la página, que es una táctica altamente efectiva que puede abordarse fácilmente si configura reglas de bloqueo de Office 365 personalizadas para aprovechar las características de Office 365 ATP Safe Links para bloquearlos automáticamente En caso de que este bloqueo no esté configurado, los atacantes no están tratando de robar sus credenciales mientras las ingresan en el formulario de inicio de sesión de Office 365 que Microsoft aloja la página oficial de inicio de sesión en los dominios Microsoft.com, live.com o outlook.com.

Investigadores de seguridad anormales descubrieron el mes pasado un nuevo ataque de phishing como campañas de phishing de Office 365 muy convincentes que intentan robar credenciales de casi 50,000 usuarios usando imágenes clonadas de notificaciones automáticas de Microsoft. Si tiene alguna sugerencia o consulta con respecto a este asunto, escriba en el cuadro de comentarios a continuación.