Los investigadores de Proofpoint han descubierto el uso de una táctica que está creciendo en uso entre los ciberdelincuentes. Por medio de aplicaciones OAuth consiguen mantener su acceso a largo plazo en entornos cloud, incluso después de restablecer las credenciales o que se aplique la autenticación multifactor.
Por medio de estos ataques, los ciberdelincuentes son capaces de secuestrar cuentas de usuario, realizar reconocimientos, exfiltrar datos y lanzar actividades maliciosas adicionales. La clave de esta amenaza radica en su mecanismo de persistencia, que sigue activo incluso una vez restablecidas las credenciaales del usuario, consiguiendo así mantener su acceso autorizado. De esta forma, se crea una puerta trasera resiliente que permanece indetectable dentro del entorno de forma indefinida, mientras que no se detecte.
Según los investigadores de Proofpoint, en los entornos cloud es fundamental comprender la diferencia entre las aplicaciones de segundo partido y de terceros. Las primeras, conocidas como aplicaciones internas, se registran directamente dentro del tenant de una organización y suelen ser creadas y gestionadas por administradores o usuarios con privilegios avanzados. Por el contrario, las aplicaciones de terceros se registran en tenants externos y solicitan acceso a recursos alojados en otras organizaciones. Los ciberdelincuentes prefieren crear aplicaciones de segundo partido en las fases posteriores a la explotación, ya que resultan más difíciles de detectar y pueden eludir los controles de seguridad para supervisar aplicaciones externas.
“Los ataques de toma de control de cuentas en la nube se han convertido en una preocupación significativa en los últimos años, puesto que los ciberdelincuentes están adoptando cada vez más aplicaciones OAuth maliciosas como medio para obtener acceso persistente en entornos comprometidos”, señalan los investigadores de Proofpoint. “Una vez que entran en una cuenta cloud, pueden crear y autorizar aplicaciones internas con permisos y alcances definidos para maximizar el impacto de este acceso a recursos críticos, como buzones de correo o archivos”.
Ante la detección de una posible aplicación maliciosa en el entorno, los expertos de Proofpoint instan a actuar de inmediato. Se recomienda revocar los secretos de cliente y los tokens de usuario, eliminar la aplicación y sus permisos asociados, e implementar una supervisión continua que permita detectar y mitigar accesos persistentes. Además, es clave capacitar a los usuarios para que reconozcan apps sospechosas, desconfíen de solicitudes de consentimiento inesperadas y reporten cualquier autorización inusual.
