Las debilidades humanas son un blanco rico para los ataques de phishing. Hacer que los humanos hagan clic en «No permitir» una y otra vez en un mensaje telefónico que no se puede omitir es un ángulo que están adoptando algunos atacantes de iCloud y que probablemente tengan cierto éxito.

Brian Krebs de Krebs on Security detalló los ataques en una publicación reciente, señalando que los «ataques de fatiga MFA» son una estrategia de ataque conocida. Al atacar repetidamente el dispositivo de una víctima potencial con solicitudes de autenticación multifactor, el ataque llena la pantalla del dispositivo con mensajes que normalmente tienen opciones de sí/no, a menudo muy juntas. Los dispositivos de Apple son sólo el último objetivo rico de esta técnica.

Se sabe que tanto el grupo de amenaza persistente avanzada Fancy Bear, respaldado por el Kremlin, como un grupo heterogéneo de adolescentes conocido como Lapsus$ han utilizado con éxito la técnica, también conocida como bombardeo rápido de MFA.

Si el propietario del dispositivo está molesto por el sonido repentino o la avalancha de notificaciones (que esencialmente bloquean el acceso a otras funciones del teléfono) o simplemente considera el mensaje demasiado rápido y se ha entrenado para hacer clic en «Sí»/»Permitir» en la mayoría de los demás mensajes, puede hacer clic en «Permitir» y dar a los atacantes el acceso que necesitan. O, al tener que descartar tantas indicaciones, su pulgar o dedo simplemente podrían golpear el píxel equivocado y accidentalmente dejar entrar a los malos.

Parth Patel, fundador de una startup de inteligencia artificial, detalló un ataque a sí mismo el 22 de marzo en un hilo en X (anteriormente Twitter). Parth dijo que su teléfono, reloj y computadora portátil Apple recibieron «más de 100 notificaciones» solicitando usar esos dispositivos para restablecer su contraseña de Apple. Dada la naturaleza del aviso, no se pueden ignorar ni descartar hasta que se actúe en consecuencia, prácticamente bloqueando los dispositivos.

Después de descartar las alertas, Parth recibió una llamada que fue falsificada para que pareciera que provenía de la línea de soporte oficial de Apple. Parth les pidió que validaran la información sobre él, y las personas que llamaron tenían disponibles su fecha de nacimiento, correo electrónico, dirección actual y direcciones anteriores. Pero Parth, que se había interrogado previamente en sitios de búsqueda de personas, descubrió que la persona que llamaba usaba uno de los nombres frecuentemente relacionados en sus informes. La persona que llamó también solicitó un código de ID de Apple enviado por SMS, del tipo que sigue explícitamente con «No lo compartas con nadie».

Otro objetivo le dijo a Krebs que recibió notificaciones de reinicio durante varios días y luego también recibió una llamada supuestamente del soporte de Apple. Después de que el objetivo hizo lo correcto (colgó y volvió a llamar a Apple), como era de esperar, Apple no tenía constancia de un problema de soporte. El objetivo le dijo a Krebs que cambió su iPhone y abrió una nueva cuenta de iCloud, pero aún así recibió solicitudes de contraseña mientras estaba en la Apple Store para comprar su nuevo iPhone.

No es el primer encuentro de Apple con la limitación de tasas

De estos cuentos, así como de otros detallados en el sitio de Krebs, está claro que el esquema de restablecimiento de contraseña de Apple necesita limitación de velocidad o alguna otra forma de control de acceso. También vale la pena señalar que MFA compatible con FIDO es inmune a este tipo de ataques.

Solo necesita un número de teléfono, un correo electrónico (para el cual Apple proporciona las primeras letras, a cada lado de la «@») y completar un CAPTCHA corto para enviar la notificación. Y no es exagerado decir que no se puede hacer mucho en un iPhone cuando el mensaje está presente, después de haber intentado acceder a cualquier otra aplicación cuando me presioné un mensaje de reinicio. Logré enviar tres mensajes en unos minutos, aunque en un momento, un mensaje me bloqueó y me dijo que había un error. Cambié a otro navegador y seguí enviando spam sin problemas.

Como lo señaló una de las fuentes de Krebs y lo confirmó Ars, recibir el mensaje en un Apple Watch (o al menos en algunos tamaños de Apple Watch) significa solo ver un botón «Permitir» para tocar y solo una pista de un botón debajo antes. desplazándote hacia abajo para tocar «No permitir».

Ars se comunicó con Apple para comentar sobre el problema y actualizará esta publicación con cualquier información nueva. Apple tiene un artículo de soporte sobre mensajes de phishing y llamadas de soporte falsas, señalando que cualquier persona que reciba una llamada telefónica sospechosa o no solicitada de Apple debe «simplemente colgar» e informarlo a la FTC o a la policía local.

Apple ya ha abordado ataques similares a los de denegación de servicio en AirDrop. Kishan Bagaria, creador de texts.com, detalló una forma en la que el sistema de intercambio de dispositivo a dispositivo de Apple podría verse abrumado con solicitudes de uso compartido de AirDrop. Posteriormente, Apple solucionó el error en iOS 13.3 y agradeció a Bagaria por su descubrimiento. Ahora, cuando un dispositivo Apple rechaza una solicitud de AirDrop tres veces, bloqueará automáticamente dichas solicitudes en el futuro.

El consejo esencial del proveedor de seguridad BeyondTrust para prevenir ataques de fatiga MFA implica limitar el número de intentos de autenticación en un período de tiempo, bloquear el acceso después de intentos fallidos, agregar requisitos biométricos o de geolocalización, aumentar los factores de acceso y marcar intentos de gran volumen.

Esta publicación se actualizó para incluir un artículo de soporte de Apple sobre llamadas de phishing.

Imagen de listado de Kevin Purdy

Cientos de cuentas de Microsoft Azure, algunas pertenecientes a altos ejecutivos, están siendo atacadas por atacantes desconocidos en una campaña en curso que apunta a robar datos confidenciales y activos financieros de docenas de organizaciones, dijeron el lunes investigadores de la firma de seguridad Proofpoint.

La campaña intenta comprometer entornos de Azure específicos enviando a los propietarios de cuentas correos electrónicos que integran técnicas de phishing de credenciales y apropiación de cuentas. Los actores de amenazas lo hacen combinando señuelos de phishing individualizados con documentos compartidos. Algunos de los documentos incluyen enlaces que, al hacer clic, redirigen a los usuarios a una página web de phishing. La amplia gama de roles objetivo indica la estrategia de los actores de amenazas de comprometer cuentas con acceso a diversos recursos y responsabilidades en las organizaciones afectadas.

«Los actores de amenazas aparentemente dirigen su atención hacia una amplia gama de personas que poseen diversos títulos en diferentes organizaciones, lo que afecta a cientos de usuarios en todo el mundo», afirma un aviso de Proofpoint. “La base de usuarios afectados abarca un amplio espectro de puestos, con objetivos frecuentes que incluyen directores de ventas, gerentes de cuentas y gerentes financieros. Entre los objetivos también se encontraban personas que ocupaban puestos ejecutivos como «Vicepresidente de Operaciones», «Director financiero y tesorero» y «Presidente y director ejecutivo».

Una vez que las cuentas se ven comprometidas, los actores de amenazas las protegen inscribiéndolas en diversas formas de autenticación multifactor. Esto puede dificultar que las víctimas cambien contraseñas o accedan a paneles para examinar los inicios de sesión recientes. En algunos casos, la MFA utilizada se basa en contraseñas de un solo uso enviadas mediante mensajes de texto o llamadas telefónicas. Sin embargo, en la mayoría de los casos, los atacantes emplean una aplicación de autenticación con notificaciones y código.

Proofpoint observó otras acciones posteriores al compromiso, entre ellas:

• Exfiltración de datos. Los atacantes acceden y descargan archivos confidenciales, incluidos activos financieros, protocolos de seguridad internos y credenciales de usuario.
• Phishing interno y externo. El acceso al buzón se aprovecha para realizar movimientos laterales dentro de las organizaciones afectadas y apuntar a cuentas de usuarios específicas con amenazas de phishing personalizadas.
• Fraude financiero. En un esfuerzo por perpetrar fraude financiero, se envían mensajes de correo electrónico internos a los departamentos de Recursos Humanos y Financieros de las organizaciones afectadas.
• Reglas del buzón. Los atacantes crean reglas de ofuscación dedicadas destinadas a cubrir sus huellas y borrar toda evidencia de actividad maliciosa de los buzones de correo de las víctimas.

Los compromisos provienen de varios servidores proxy que actúan como intermediarios entre la infraestructura de origen de los atacantes y las cuentas objetivo. Los servidores proxy ayudan a los atacantes a alinear la ubicación geográfica asignada a la dirección IP de conexión con la región del objetivo. Esto ayuda a eludir varias políticas de geocercas que restringen la cantidad y ubicación de las direcciones IP que pueden acceder al sistema de destino. Los servicios de proxy a menudo cambian a mitad de la campaña, una estrategia que dificulta que quienes se defienden de los ataques bloqueen las IP donde se originan las actividades maliciosas.

Otras técnicas diseñadas para ofuscar la infraestructura operativa de los atacantes incluyen servicios de alojamiento de datos y dominios comprometidos.

«Más allá del uso de servicios proxy, hemos visto a atacantes utilizar ciertos ISP locales de línea fija, exponiendo potencialmente sus ubicaciones geográficas», decía la publicación del lunes. “Entre estas fuentes no representativas destacan ‘Selena Telecom LLC’, con sede en Rusia, y los proveedores nigerianos ‘Airtel Networks Limited’ y ‘MTN Nigeria Communication Limited’. Si bien Proofpoint no ha atribuido actualmente esta campaña a ningún actor de amenazas conocido, existe la posibilidad de que atacantes rusos y nigerianos estén involucrados, estableciendo paralelismos con ataques anteriores a la nube”.

Cómo comprobar si eres un objetivo

Hay varios signos reveladores de que se está apuntando a un objetivo. El más útil es un agente de usuario específico utilizado durante la fase de acceso del ataque: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36

Los atacantes utilizan predominantemente este agente de usuario para acceder a la aplicación de inicio de sesión ‘OfficeHome’ junto con el acceso no autorizado a aplicaciones nativas adicionales de Microsoft365, como:

• Office365 Shell WCSS-Client (indicativo de acceso del navegador a las aplicaciones de Office365)
• Office 365 Exchange Online (indicativo de abuso de buzones de correo, filtración de datos y proliferación de amenazas de correo electrónico posteriores al compromiso)
• Mis inicios de sesión (utilizados por atacantes para manipulación de MFA)
• Mis aplicaciones
• Mi perfil

Proofpoint incluyó los siguientes indicadores de compromiso:

Indicador	Tipo	Descripción
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/120.0.0.0 Safari/537.36	Agente de usuario	Agente de usuario involucrado en la fase de acceso del ataque
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/120.0.0.0 Safari/537.36	Agente de usuario	Agente de usuario involucrado en las fases de acceso y post-acceso del ataque
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/119.0.0.0 Safari/537.36	Agente de usuario	Agente de usuario involucrado en las fases de acceso y post-acceso del ataque
sachacel[.]ru	Dominio	Dominio utilizado para amenazas de phishing dirigidas
lobnia[.]com	Dominio	Dominio de origen utilizado como infraestructura maliciosa
aplicación de maquillaje[.]hoy	Dominio	Dominio de origen utilizado como infraestructura maliciosa
alexhost[.]com	Dominio	Dominio de origen utilizado como infraestructura maliciosa
moles[.]ru	Dominio	Dominio de origen utilizado como infraestructura maliciosa
inteligente[.]neto	Dominio	Dominio de origen utilizado como infraestructura maliciosa
airtel[.]com	Dominio	Dominio de origen utilizado como infraestructura maliciosa
mtnonline[.]com	Dominio	Dominio de origen utilizado como infraestructura maliciosa
centroacedata[.]com	Dominio	Dominio de origen utilizado como infraestructura maliciosa
Sokolov Dmitri Nikolaevich	ISP	ISP de origen utilizado como infraestructura maliciosa
Dom Tehniki Ltd.	ISP	ISP de origen utilizado como infraestructura maliciosa
Selena Telecom LLC	ISP	ISP de origen utilizado como infraestructura maliciosa

A medida que la campaña continúa, Proofpoint puede actualizar los indicadores a medida que haya más disponibles. La compañía aconsejó a las empresas que presten mucha atención al agente de usuario y a los dominios de origen de las conexiones entrantes a las cuentas de los empleados. Otras defensas útiles son el empleo de defensas de seguridad que buscan signos tanto de compromiso inicial de la cuenta como de actividades posteriores al compromiso, identificando vectores iniciales de compromiso como phishing, malware o suplantación de identidad, e implementando políticas de corrección automática para expulsar rápidamente a los atacantes. el evento en el que entran.

Otro legislador está presionando a la Comisión de Bolsa y Valores para que obtenga más información sobre sus prácticas de seguridad tras el hackeo de su cuenta verificada en X. En una nueva carta al inspector general de la agencia, el senador Ron Wyden, pidió una investigación sobre «la aparente falla de la SEC». seguir las mejores prácticas de ciberseguridad”.

La carta, que fue la primera axios, se produce días después de que la cuenta X oficial de la SEC publicara un tweet afirmando que el regulador había aprobado los ETF de bitcoin al contado. La publicación deshonesta elevó temporalmente el precio de bitcoin y obligó al presidente de la SEC, Gary Gensler, a decir desde su cuenta X que la aprobación, de hecho, no se había producido. (La SEC aprobó 11 ETF de bitcoin al contado un día después, y Gensler en una declaración dijo que «bitcoin es principalmente un activo especulativo y volátil que también se utiliza para actividades ilícitas»).

El incidente generó una serie de preguntas sobre las prácticas de seguridad de la SEC después de que funcionarios de X dijeran que el regulador financiero no había estado utilizando la autenticación multifactor para proteger su cuenta. En la carta, Wyden, que preside el comité de finanzas del Senado, dijo que sería «imperdonable» que la agencia no utilizara capas adicionales de seguridad para bloquear sus cuentas de redes sociales.

«Dado el potencial obvio de manipulación del mercado, si la declaración de X es correcta, las cuentas de redes sociales de la SEC deberían haberse protegido utilizando las mejores prácticas de la industria», escribió Wyden. “La agencia no sólo debería haber habilitado MFA, sino que debería haber protegido sus cuentas con tokens de hardware resistentes al phishing, comúnmente conocidos como claves de seguridad, que son el estándar de oro para la ciberseguridad de las cuentas. El hecho de que la SEC no siga las mejores prácticas de ciberseguridad es imperdonable, particularmente teniendo en cuenta los nuevos requisitos de la agencia para la divulgación de ciberseguridad”.

Wyden no es el único legislador que ha presionado a la SEC para obtener más detalles sobre el hackeo. Los senadores JD Vance y Thom Tillis enviaron r propio, dirigido a Gensler, inmediatamente después del incidente. Pidieron una sesión informativa sobre las políticas de seguridad de la agencia y la investigación del hackeo antes del 23 de enero.

La SEC no respondió de inmediato a una solicitud de comentarios. La agencia dijo en un comunicado anterior que estaba trabajando con el FBI y el Inspector General para investigar el asunto.

microsoft tiene desvelado planea tomar la decisión sobre qué método de autenticación usar fuera de sus manos, en lugar de ofrecer indicaciones basadas en niveles de seguridad.

teniendo ya escrito sobre las desventajas de usar SMS y métodos de autenticación multifactor (MFA) basados ​​en voz, citando la ingeniería social, el desempeño del operador móvil, la evolución técnica y más, el vicepresidente de seguridad de identidad de Microsoft, Alex Weinert, ahora ha aludido a enfoques más seguros .

Una nueva entrada en Microsoft mapa vial (se abre en una pestaña nueva) ha revelado que la compañía está trabajando para habilitar las solicitudes de autenticación multifactor (MFA) directamente en la aplicación de Outlook para ciertos usuarios.

La función, que Microsoft llama Authenticator Lite, está diseñada para permitir que los usuarios empresariales y educativos accedan a códigos de acceso de un solo uso sin necesidad de un código adicional. aplicación de autenticación.

La autenticación multifactor es una excelente manera de mantener a raya a los ciberdelincuentes, pero aparentemente algunos se están volviendo bastante buenos para eludir este tipo de protección al robar las cookies de la aplicación y la sesión del navegador.

Los investigadores de ciberseguridad de Sophos dicen que están observando un creciente apetito por las cookies, entre el malware de todos los niveles de sofisticación. Desde ladrones de información como Racoon Stealer o RedLine Stealer hasta troyanos destructivos como Emotet, un número cada vez mayor de virus y malware obtienen funcionalidades para robar cookies.