Proofpoint, empresa líder en ciberseguridad y cumplimiento normativo, ha realizado una investigación sobre ciberdelincuentes infiltrados en entornos cloud de organizaciones. Para alcanzar este objetivo, los atacantes se aprovechaban de la certificación de editor verificado de Microsoft para que los usuarios autorizasen aplicaciones OAuth de terceros o maliciosas que habían conseguido eludir las restricciones de Microsoft.
Al contar con esa verificación, que da cierto estatus, aumentaba la probabilidad de que los ciberdelincuentes engañasen finalmente a los usuarios para que diesen su consentimiento cuando la aplicación solicitaba acceso a su cuenta. En esas aplicaciones maliciosas, según Proofpoint, los permisos delegados eran de gran alcance, como leer emails, hacer ajustes en la configuración del buzón, acceder a archivos y a otros datos de las víctimas.
«El impacto de estas amenazas para las organizaciones pasa por el compromiso de cuentas, la exfiltración de datos, el abuso de su marca siendo suplantada, permisos sobre buzones de correo y calendarios de los usuarios afectados, así como ataques BEC», explican investigadores deProofpoint. «En este caso, los atacantes tienen menos probabilidades de ser detectados que con el phishing o ataques de fuerza bruta, ya que las organizaciones tienen controles de defensa más débiles contra amenazas con aplicaciones OAuth supuestamente verificadas».
Proofpoint ha observado que empleados del área financiera, marketing y ejecutivos de altos nivel eran quienes autorizaban estas apps maliciosas, comprometiendo a su organización. Mediante diversas tácticas, los ciberdelincuentes conseguían engañar a usuarios y organizaciones para que concediesen permisos sin examinar todo previamente a fondo: registro de dominios con nombres parecidos a los de las entidades suplantadas, uso de archivos «.html» o «.htm» personalizados y enlaces sobre términos de servicio o políticas de las organizaciones legítimas. En uno de los casos detectados se usaba un icono antiguo de la app Zoom, así como un dominio auténtico, para aumentar la credibilidad de la amenaza.
Dada la sofisticación de estos ataques, afirman desde Proofpoint, es muy probable que los usuarios caigan víctimas de algunos de estos métodos avanzados de ingeniería social por parte de los ciberdelincuentes. Por eso, recomiendan a las organizaciones utilizar soluciones de seguridad cloud que puedan detectar y revocar automáticamente aplicaciones OAuth maliciosas de sus entornos, además de no confiar en ellas basándose únicamente en la certificación de editor verificado. Proofpoint aumenta la seguridad de Microsoft y protege a sus clientes detectando vulnerabilidades antes de que causen daños. Después de esta investigación, Microsoft deshabilitó todas las apps fraudulentas e informó a los afectados.