La firma de ciberseguridad Microsoft ha emitido una advertencia sobre una nueva amenaza que afecta a empleados canadienses. Un grupo de atacantes, rastreado como Storm-2755, está llevando a cabo sofisticados ataques de «piratería de nómina» para robar pagos de salario.
¿Cómo funcionan estos ataques?
Los ciberdelincuentes utilizan páginas de inicio de sesión maliciosas de Microsoft 365. Estas páginas falsas imitan a las legítimas y están diseñadas para robar las credenciales de los usuarios, incluyendo tokens de autenticación y cookies de sesión. Los atacantes logran que estas páginas aparezcan en los primeros resultados de búsqueda mediante malvertising o SEO poisoning, redirigiendo a las víctimas a dominios controlados por ellos.
El Bypass de la Autenticación Multifactor (MFA):
Lo más preocupante es que Storm-2755 puede evadir la autenticación multifactor (MFA). Al capturar los tokens de sesión, los atacantes realizan ataques de tipo «adversario-en-el-medio» (AiTM). En lugar de reingresar credenciales o códigos MFA, simplemente reutilizan la sesión autenticada robada. Microsoft explica que estos frameworks AiTM proxían todo el flujo de autenticación en tiempo real, permitiendo la captura de cookies de sesión y tokens de acceso OAuth. Esto significa que pueden acceder a los servicios de Microsoft sin ser solicitados para credenciales o MFA, eludiendo protecciones legacy que no son resistentes al phishing.
El Robo de Nómina:
Una vez dentro de la cuenta de un empleado, los atacantes establecen reglas en la bandeja de entrada para ocultar correos electrónicos del departamento de recursos humanos (RRHH) que contengan palabras clave como «depósito directo» o «banco». Posteriormente, buscan información relacionada con «nómina», «RRHH», «depósito directo» o «finanzas». Luego, envían correos electrónicos al personal de RRHH con asuntos como «Pregunta sobre depósito directo» para engañarlos y hacerles actualizar la información bancaria de la víctima. Si la ingeniería social falla, los atacantes acceden directamente a plataformas de RRHH como Workday utilizando las credenciales robadas para modificar manualmente los detalles del depósito directo.
¿Cómo Defenderse?
Microsoft recomienda a las organizaciones:
- Bloquear los protocolos de autenticación heredados.
- Implementar MFA resistente al phishing.
- En caso de detectar un compromiso: revocar tokens y sesiones comprometidas inmediatamente, eliminar reglas de correo maliciosas y restablecer métodos MFA y credenciales de las cuentas afectadas.
Estos ataques son una variante de las estafas de compromiso de correo electrónico empresarial (BEC), que causaron pérdidas multimillonarias el año pasado según el FBI.
Proteger la información sensible de tus empleados y la integridad de tus procesos financieros es crucial. En NK, entendemos los desafíos de seguridad que enfrentan las empresas hoy en día. Si necesitas fortalecer tus defensas contra ataques como estos, implementar soluciones de ciberseguridad robustas, o tienes dudas sobre cómo proteger tu infraestructura, no dudes en contactarnos.
¿Quieres saber más sobre cómo Microsoft 365 puede ayudarte a mejorar tu seguridad? ¿Necesitas implementar un Firewall robusto o Certificados SSL para proteger tus transacciones? En NK, ofrecemos soluciones integrales de tecnología y ciberseguridad adaptadas a tus necesidades.
Para obtener asesoría personalizada o contratar nuestros servicios, visita nuestro sitio web y contáctanos Contáctanos. ¡Estamos aquí para ayudarte!
