Se han detectado piratas informáticos abusando de la función Microsoft Partner Network para Azure AD en un intento de robar correos electrónicos corporativos y otros datos confidenciales. (se abre en una pestaña nueva).
Microsoft y los profesionales de la ciberseguridad Proofpoint trabajaron juntos (se abre en una pestaña nueva) para combatir las amenazas, explicando cómo descubrieron a los piratas informáticos haciéndose pasar por empresas legítimas y siendo verificados con éxito en el Programa Microsoft Cloud Partner (MCPP).
Obtener la verificación como un negocio legítimo permitió a los delincuentes registrar aplicaciones OAuth verificadas en Azure AD que, en realidad, eran maliciosas y se usaban para robar los correos electrónicos de las personas a través del phishing. Para empeorar las cosas, Proofpoint dijo que los delincuentes también podrían haber usado este acceso para robar información del calendario.
Ejecutar ataques BEC
La amenaza es particularmente preocupante ya que su tipo de información puede usarse para ciberespionaje, ataques de compromiso de correo electrónico comercial o como un trampolín hacia una forma más grave de ciberdelito.
Proofpoint parece haber sido el primero en detectar la campaña el 15 de diciembre, y Microsoft intervino más tarde para deshabilitar todas las cuentas y aplicaciones fraudulentas.
«Microsoft ha deshabilitado las aplicaciones y cuentas propiedad de los actores de amenazas para proteger a los clientes y ha contratado a nuestra Unidad de Delitos Digitales para identificar otras acciones que se pueden tomar con este actor de amenazas en particular», dijo en su anuncio. (se abre en una pestaña nueva).
«Hemos implementado varias medidas de seguridad adicionales para mejorar el proceso de investigación de antecedentes de MCPP y disminuir el riesgo de un comportamiento fraudulento similar en el futuro».
Microsoft también dijo que se comunicó con todas las empresas afectadas y les advirtió que investigaran a fondo sus entornos para asegurarse de que estén a salvo de compromisos.
BleepingEquipo dice que los actores malintencionados han estado utilizando cada vez más las aplicaciones OAuth para ejecutar ataques de «phishing de consentimiento» y apuntar a los datos comerciales de Office 365 y Microsoft 365, lo que obligó a Microsoft a introducir el estado «verificado».
Vía: BleepingComputer (se abre en una pestaña nueva)