Aplicaciones maliciosas de Microsoft OAuth suplantan a Adobe y DocuSign

Los ciberdelincuentes están promoviendo aplicaciones maliciosas de Microsoft OAuth que se hacen pasar por herramientas de Adobe y DocuSign para distribuir malware y robar credenciales de Microsoft 365.

Detalles del Ataque

Investigadores de Proofpoint descubrieron estas campañas de phishing, calificándolas como "altamente dirigidas" en un informe compartido en X (Twitter). Los atacantes han disfrazado aplicaciones fraudulentas bajo los nombres:

• Adobe Drive
• Adobe Drive X
• Adobe Acrobat
• DocuSign

Estas aplicaciones maliciosas solicitan permisos menos sensibles, como:

• Profile: Acceso al nombre completo, ID de usuario, foto de perfil y nombre de usuario.
• Correo electrónico: Permite ver la dirección principal (sin acceso a la bandeja de entrada).
• OpenID: Facilita la confirmación de identidad y la recuperación de detalles de la cuenta de Microsoft 365.

Este enfoque evita generar sospechas y facilita la infiltración en las cuentas de los usuarios.

Origen y Objetivos del Ataque

Los correos electrónicos de phishing provienen de organizaciones benéficas o pequeñas empresas cuyas cuentas de Office 365 han sido comprometidas. Los mensajes se dirigen a diversas industrias en EE. UU. y Europa, incluyendo:

• Gobierno
• Atención médica
• Cadena de suministro
• Comercio minorista

Los atacantes utilizan señuelos como solicitudes de propuestas y contratos falsos para engañar a los destinatarios y lograr que hagan clic en enlaces maliciosos.

Impacto y Consecuencias

Si bien los permisos concedidos a estas aplicaciones son limitados, los atacantes pueden explotar la información recopilada para ataques más dirigidos. Además, una vez que los usuarios otorgan acceso a la aplicación OAuth:

• Son redirigidos a páginas de phishing que roban credenciales de Microsoft 365.
• Se les presenta malware que se instala en sus dispositivos.

Proofpoint informó que las víctimas experimentaron múltiples redirecciones antes de ser llevadas a la página final de phishing o descarga de malware. En menos de un minuto tras la autorización, se detectó actividad sospechosa en las cuentas afectadas.

Aunque no se pudo identificar el tipo de malware distribuido, se observó el uso del ataque de ingeniería social ClickFix, una técnica en auge.

Prevención y Recomendaciones

Las aplicaciones OAuth siguen siendo un método efectivo para comprometer cuentas de Microsoft 365 sin necesidad de robar credenciales. Para evitar estos ataques:

✅ Verifique las solicitudes de permisos de aplicaciones OAuth antes de aprobarlas.
✅ Revise las aplicaciones autorizadas en Mis aplicaciones → Administrar sus aplicaciones → Revoque las no reconocidas.
✅ Los administradores de Microsoft 365 pueden restringir el acceso a aplicaciones OAuth de terceros en Aplicaciones empresariales → Consentimiento y permisos → Establecer "Los usuarios pueden dar su consentimiento a las aplicaciones" en "No".

Mantenerse alerta ante correos sospechosos y restringir permisos innecesarios puede prevenir el robo de credenciales y el acceso no autorizado a cuentas corporativas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta