Una sofisticada campaña de compromiso de correo electrónico empresarial (BEC) se dirige a los directores ejecutivos y directores financieros para drenar millones de cuentas corporativas

(cibernews)-Todo comienza con un correo electrónico de phishing diseñado específicamente para un ejecutivo individual de la organización. Si se tragan el anzuelo, los autores intelectuales criminales realizan un reconocimiento del entorno de la víctima y elaboran cuidadosamente un archivo adjunto para redirigir las transacciones corporativas.

La startup de seguridad cibernética israelí Mitiga dice que esta es una campaña generalizada dirigida a grandes transacciones de hasta varios millones de dólares cada una.

“Los atacantes combinan el phishing de alta gama con un ataque de adversario en el medio (AiTM) para eludir la autenticación multifactor (MFA) y una falla de diseño de Microsoft 365 que les permite crear persistencia de acceso con MFA”, dijo el dijo la compañía.

En un caso, un tercero responsable de realizar la transacción recibió un correo electrónico fraudulento que decía que la cuenta de la empresa estaba congelada debido a una auditoría financiera trimestral en curso y agregaba que usaría otra cuenta temporalmente.

El hilo se refería a una transacción en curso y contenía todos los mensajes recientes con la opción «Responder a todos», lo que hacía que pareciera legítimo. El correo electrónico falso no solo contenía el hilo original completo, sino que también incluía a todos los destinatarios originales.

O solo lo parecía, ya que los ciberdelincuentes, de hecho, crearon dominios y usuarios falsos similares en esos dominios de una manera que sería apenas visible para evitar levantar sospechas. Por ejemplo, los estafadores se hicieron pasar por Foobar (la empresa que recibe los fondos en la transacción) creando un dominio falso, F00bar.

La investigación de Mitiga concluyó que los delincuentes comprometieron a uno de los ejecutivos, que estaba en el hilo de correo electrónico con respecto a la cuenta de transacción. En este caso, se restableció la contraseña del usuario y se revocaron todas las sesiones. Sin embargo, si los actores de la amenaza tuvieron éxito, las partes involucradas podrían haber sufrido pérdidas millonarias. Los atacantes crearon una cuenta en Singapur con la esperanza de redirigir con éxito las transacciones legítimas y robar los fondos.

¿Cómo se compromete, en primer lugar, la cuenta de un ejecutivo?

La víctima (un ejecutivo de alto rango en este caso) recibe un correo electrónico que se hace pasar por el servicio de firma electrónica DocuSign. Esta estafa, dirigida a C-Suite usando Office 365, existe desde hace bastante tiempo. Engañado por una solicitud para firmar un documento, la víctima es llevada al sitio del actor de amenazas, que simula una redirección a la página de inicio de sesión único de M365.

“La víctima ingresa su nombre de usuario y contraseña, que se transmiten directamente a M365 en la sesión entre el actor de amenazas y Microsoft. La aplicación de autenticación en el teléfono de la víctima requiere una verificación de segundo factor de la sesión recién creada. Se crea una sesión válida para el atacante cuando la víctima aprueba el inicio de sesión. Luego, la víctima es redirigida a un mensaje de error de aspecto benigno”, detalló Mitiga .

Y aquí tienes, el atacante ahora usa la sesión recién creada para recorrer el entorno de Office 365, leer correos electrónicos e investigar archivos. Los actores de amenazas buscan correspondencia relacionada con las próximas transacciones para intentar robar fondos corporativos.

“El atacante usa una falla de diseño en M365 MFA para crear una nueva aplicación de autenticación para el usuario comprometido. ¡Esto elude varios controles de seguridad potenciales, incluida la protección de identidad y el vencimiento de la sesión, al eliminar por completo la protección proporcionada por MFA en el futuro para esta cuenta! También permite que el atacante transfiera las credenciales”, dijo Mitiga.