Un kit de phishing rentado por 400 dólares al mes toma el control de cuentas de Microsoft 365 usando pantallas reales de Microsoft
Un servicio de phishing por suscripción, distribuido en Telegram por 400 dólares al mes, permite a cualquiera montar campañas que roban el acceso a cuentas de Microsoft 365. La técnica usa las pantallas reales de inicio de sesión de Microsoft, por lo que el engaño es difícil de detectar a simple vista. Las organizaciones que usan Microsoft 365 deben revisar accesos recientes y restringir el método de verificación que este servicio aprovecha.
Qué ocurrió
Se identificó un servicio de phishing que se renta por suscripción, 400 dólares al mes, y se distribuye a través de Telegram, dirigido a robar el acceso a cuentas de Microsoft 365. En vez de imitar la pantalla de inicio de sesión, el engaño enruta a la víctima por el proceso real de verificación de Microsoft y le pide ingresar un código de acceso temporal. Ese código lo genera el atacante, y al ingresarlo la víctima le entrega, sin saberlo, una sesión activa en su propia cuenta. El servicio también evade filtros automatizados: detecta si quien visita el enlace usa una VPN o parece un sistema de análisis, y en ese caso muestra contenido inofensivo en vez del engaño. Además, incluye una extensión de navegador que mantiene el acceso activo aunque la víctima cambie su contraseña.
Quién está expuesto
Organizaciones que usan Microsoft 365 para correo y documentos, en particular si permiten el inicio de sesión mediante código de verificación sin restricciones adicionales.
A considerar
Este servicio existe para ser usado por cualquiera que pague la suscripción, no por un solo grupo de atacantes, así que puede aparecer en forma de campañas distintas y sin relación aparente entre sí. Restringir o desactivar el inicio de sesión por código de verificación, cuando no es indispensable, elimina la vía que este servicio aprovecha.
Impacto potencial
Con el acceso a la cuenta, un atacante puede leer el correo, configurar reglas de reenvío ocultas, y usar la cuenta real de un empleado para engañar a proveedores, clientes o compañeros de trabajo, lo que es mucho más difícil de detectar que un correo de phishing tradicional.
Leer fuente original →