🛡 MALWARE 🛡

FBI advierte sobre un kit de phishing en rápido crecimiento que ataca a usuarios de Microsoft 365

🛡CyberObservatorio
Idioma

FBI advierte sobre un kit de phishing en rápido crecimiento que ataca a usuarios de Microsoft 365

Fuente: CyberScoop

El FBI ha emitido una advertencia a organizaciones y expertos en ciberseguridad sobre Kali365, una plataforma de phishing-as-a-service que está en rápida expansión y que se especializa en la obtención de tokens de acceso a Microsoft 365. Esta alerta, publicada en un comunicado de servicio público el pasado jueves, subraya la creciente amenaza que representan estos nuevos enfoques de ataque, que pueden tener graves repercusiones para empresas y usuarios individuales.

Kali365 opera un conjunto de herramientas que elude la autenticación multifactorial (MFA) y se aprovecha de las autorizaciones de código de dispositivo de OAuth mediante engaños que imitan servicios empresariales comunes. Este método permite que aplicaciones controladas por ciberdelincuentes accedan a cuentas de Microsoft 365, lo que expone a las víctimas a una variedad de actividades maliciosas, que incluyen robo de datos, fraude, extorsión y ataques de ransomware.

La plataforma Kali365 es uno de los muchos y emergentes recursos de phishing basado en códigos de dispositivo, los cuales están ganando popularidad entre los ciberdelincuentes como una forma más efectiva de eludir controles de seguridad, al mismo tiempo que abusan de las páginas de autorización de dispositivos legítimos de Microsoft. Según los investigadores, esta técnica se aleja de los métodos tradicionales de phishing que roban credenciales y códigos de autenticación de segundo factor, conectando una aplicación maliciosa a una cuenta legítima mediante un único código. Este proceso requiere menos pasos y menos interacción por parte del usuario, aunque las víctimas deben copiar y pegar un código generado por la plataforma Kali365 para otorgar acceso.

Selena Larson, investigadora sénior de amenazas en Proofpoint, comentó que se ha observado una cantidad considerable de actividad de phishing basada en códigos de dispositivo, destacando que muchos de estos ataques son muy similares en su ejecución. "Están utilizando los mismos tipos de engaños, el mismo tipo de contenido y la misma marca", afirmó Larson, lo que sugiere una posible automatización en la creación de estos ataques. De hecho, los investigadores de Proofpoint han identificado siete herramientas de phishing de código de dispositivo que presentaban una apariencia casi idéntica durante un periodo de diez días el mes pasado.

Aunque el phishing de código de dispositivo no es un concepto nuevo, plataformas como Kali365 han integrado técnicas que difieren de los ataques de phishing dirigidos a la MFA, lo que puede hacerlas más efectivas. "Es algo a lo que la gente podría no estar acostumbrada. Es un poco más elegante", agregó Larson. Esta evolución en los métodos de ataque es parte de la razón por la cual estas herramientas están proliferando tan rápidamente; desde febrero, Proofpoint ha observado un aumento explosivo en la actividad de phishing de código de dispositivo.

En abril, Kali365 ya estaba operativa y se distribuía principalmente a través de Telegram, según el FBI. La agencia advirtió que "Kali365 reduce la barrera de entrada, proporcionando a atacantes menos técnicos acceso a engaños de phishing generados por IA, plantillas de campañas automatizadas, paneles de seguimiento en tiempo real de individuos o entidades específicas, y capacidades de captura de tokens de OAuth".

Investigadores de Arctic Wolf Labs, que también han estado siguiendo campañas de gran escala vinculadas a Kali365, informaron que la plataforma cobra a sus afiliados $250 por 30 días de servicio o $2,000 por un año completo. Kali365 almacena los tokens de acceso y actualización de OAuth que captura y los pone a disposición de los afiliados en su plataforma. Estos tokens también pueden ser compartidos y reutilizados por otros ciberdelincuentes que no participaron en el engaño inicial, lo que amplifica aún más la amenaza.

El FBI también subrayó que estos tokens de Microsoft 365 proporcionan acceso persistente, lo que permite a los atacantes navegar a través de múltiples servicios de Microsoft sin necesidad de una contraseña o solicitudes adicionales de MFA. "La identidad puede ser muy, muy poderosa una vez que estás dentro de una organización", señaló Larson, añadiendo que los atacantes pueden abusar de ese acceso para suplantar identidades, acceder y robar datos con fines de extorsión, cometer fraudes e incluso desplegar malware.

Este panorama pone de manifiesto la necesidad urgente de que las organizaciones refuercen sus medidas de seguridad y conciencien a sus empleados sobre los peligros del phishing, especialmente en un momento en que los métodos de ataque están evolucionando a un ritmo alarmante. Las empresas deben implementar políticas de ciberseguridad más robustas, que incluyan formación regular para los empleados y sistemas de monitoreo avanzados para detectar este tipo de actividades maliciosas antes de que causen daños significativos.

FBI warns about fast-growing phishing kit targeting Microsoft 365 users

Source: CyberScoop

The FBI is warning organizations and defenders about Kali365, a growing phishing-as-a-service platform that retrieves Microsoft 365 access tokens, issuing apublic service announcementThursday. The toolkit bypasses multi-factor authentication and abuses OAuth device code authorizations via phishing lures impersonating common enterprise services. This technique grants cybercriminal-controlled applications access to Microsoft 365 accounts, opening victims up to a host of follow-on malicious activity, including data theft, fraud, extortion and ransomware attacks. Kali365 is one of many rapidly emerging device-code phishing tools, which are gaining popularity as a more effective means for cybercriminals to circumvent security controls while abusing legitimate Microsoft device authorization pages, according to researchers. Instead of gaining access to accounts via phishing kits that steal credentials and second-factor authentication codes, device-code phishing platforms connect a malicious app to a legitimate account with a single code. The process requires fewer steps and less interaction with the user, but victims do have to copy-and-paste a code generated by the Kali365 platform to grant access. “We see quite a bit of this device-code phishing activity, but so much of it looks really similar. They’re all using the same types of lures, the same types of content, the same branding,” Selena Larson, senior threat researcher at Proofpoint, told CyberScoop. “It is very much AI generated, AI driven, and the threat actors, I think, are finding it pretty effective because we’re seeing this shift happen kind of all at once.” Proofpoint researchers observed seven device-code phishing tools thatlooked nearly identicalduring a 10-day period last month. Device-code phishing isn’t new, but platforms like Kali365 have integrated new techniques that differ from MFA phishing, and might be more effective as a result. “It’s something that people might not be used to. It’s a little bit sleeker,” Larson said. This also partly explains why these cybercriminal tools are growing so quickly. Larson said Proofpoint observed an explosion in device-code phishing activity starting in February. By April, Kali365 was up and running and primarily distributed on Telegram, according to the FBI. “Kali365 lowers the barrier of entry, providing less-technical attackers access to AI-generated phishing lures, automated campaign templates, real-time targeted individual/entity tracking dashboards, and OAuth token capture capabilities,” the agency said in the public warning. Researchers at Arctic Wolf Labs, which has also been trackinglarge-scale campaigns linked to Kali365, said the platform charges affiliates $250 for 30 days of service or $2,000 for a full year. Kali365 stores the OAuth access and refresh tokens it captures, and makes those available to affiliates on its platform. Those tokens can also be shared and reused by other cybercriminals who didn’t participate in the initial phishing lure, Arctic Wolf researchers added. The FBI also noted that these Microsoft 365 tokens provide persistent access, allowing attackers to wade through multiple Microsoft services without a password or additional MFA requests. “Identity can be very, very powerful once you’re in an organization,” Larson said, adding that attackers can abuse that access to impersonate people, access and steal data for extortion, commit fraud and deploy malware. The postFBI warns about fast-growing phishing kit targeting Microsoft 365 usersappeared first onCyberScoop.

FBI advierte sobre un kit de phishing en rápido crecimiento que ataca a usuarios de Microsoft 365 | Ciberseguridad - NarcoObservatorio