Investigadores: la campaña impulsada por IA compromete las cuentas de manera más efectiva que los ataques de phishing tradicionales
Los investigadores de Microsoft descubrieron recientemente una sofisticada campaña de phishing a gran escala impulsada por IA que utiliza automatización y procesos de autenticación legítimos para comprometer cuentas de manera más efectiva que los ataques de phishing tradicionales.
«Esta actividad se alinea con el surgimiento de EvilToken, un conjunto de herramientas de phishing como servicio (PhaaS) identificado como un factor clave del abuso de códigos de dispositivos a gran escala.« dijo la empresa.
Este ataque marca un paso del robo de contraseñas al abuso de tokens y sistemas de autenticación confiables.
El informe de investigación del equipo de investigación de seguridad de Microsoft Defender ilustra que la IA está haciendo que el phishing sea más sofisticado y escalable.
Un resumen rápido del informe muestra que los atacantes filtran qué cuentas de correo electrónico existen y aún están activas. Esta misión de reconocimiento se lleva a cabo días o semanas antes del ataque.
Una vez identificadas las víctimas, reciben correos electrónicos altamente personalizados que utilizan un lenguaje para aumentar la confianza y el compromiso, desde facturas, documentos hasta archivos PDF.
Los enlaces pasan a través de plataformas legítimas, como servicios en la nube y redireccionamientos. Esto ayuda a los piratas informáticos a eludir Filtros de seguridad y sistemas de detección.
Se activa una autenticación de código de dispositivo y se muestra a la marca una página de inicio de sesión real de Microsoft con un código de dispositivo. Una vez que la víctima ingresa el código, sin saberlo, autoriza la sesión del atacante. La clave aquí es que no se ha robado ninguna contraseña y el acceso se otorga mediante tokens de autenticación válidos.
Los piratas informáticos utilizan estos tokens para acceder a correos electrónicos, mapear la organización y apuntar a ejecutivos o equipos financieros.
Lo que descubrieron los investigadores de seguridad
Los atacantes se han vuelto más sofisticados al utilizar IA generativa para crear correos electrónicos altamente personalizados adaptados a los roles de las víctimas. El resultado es que una cadena de ataque completa se automatiza de extremo a extremo, lo que aumenta las tasas de éxito.
El aspecto aterrador de esta infracción es que el ataque aprovechó un método de inicio de sesión legítimo: el flujo de código del dispositivo.
Los piratas informáticos abusaron del sistema de autenticación de códigos de dispositivos de Microsoft y las víctimas, sin saberlo, ingresaron un código que otorgaba acceso crucial a los atacantes sin robar contraseñas.
Microsoft dice que los atacantes comienzan haciendo reconocimiento, un precursor crítico. Por lo general, ocurre entre 10 y 15 días antes de que se lance el intento de phishing real.
El siguiente paso consistió en superar los límites de seguridad y esto se llevó a cabo mediante la generación de código en tiempo real. Estos códigos se generan a pedido cuando los usuarios hacen clic en enlaces y evitan los límites de caducidad y mejoran la confiabilidad del ataque.
«Para evitar la ventana de vencimiento de 15 minutos para los códigos de dispositivos, los actores de amenazas activaron la generación de códigos en el momento en que el usuario interactuaba con el enlace de phishing, asegurando que el flujo de autenticación siguiera siendo válido», afirma el informe.
Los atacantes sofisticados tienden a centrarse en objetivos de alto valor después del compromiso inicial. Después de obtener acceso, los atacantes pueden mapear organizaciones, identificar ejecutivos o personal financiero y configurar acceso persistente y robo de datos.
El informe encontró que la amenaza de la infraestructura de la nube permite ataques a gran escala. Esto hace que las grandes organizaciones sean particularmente vulnerables, ya que los atacantes pueden activar miles de sistemas de corta duración para ejecutar campañas y utilizar plataformas como alojamiento sin servidor para evadir la detección.
Lo que queda claro a partir de los hallazgos de esta violación es que los modelos de seguridad basados en contraseñas y detección básica ya no son suficientes.
Las organizaciones deben tener en cuenta barreras de seguridad como la supervisión continua, controles de identidad más estrictos y una mayor conciencia de cómo se pueden explotar las herramientas legítimas.
Para obtener el informe completo, visite el sitio de Microsoft.