Ciberataques mediante enrolamiento falso de Microsoft Entra en Microsoft 365

Publicado el

Introducción

Recientemente, un grupo de actores de amenazas ha comenzado a dirigir ataques contra organizaciones de varios sectores utilizando solicitudes de seguridad fraudulentas basadas en voz. Estos ataques buscan que los usuarios de Microsoft 365 se inscriban en un nuevo passkey de Entra, lo que permite a los atacantes llevar a cabo extorsiones de datos.

Método de ataque

El grupo, conocido como O-UNC-066, ha implementado un kit de phishing controlado por un panel, diseñado específicamente para atacar el proceso de inscripción de passkeys. Este enfoque ha afectado a industrias clave como la alimentación y bebidas, tecnología, salud, automoción, construcción y aviación. Según Houssem Eddine Bordjiba, investigador de Okta, los atacantes registran dominios que contienen la palabra "passkey" como parte de un esquema de phishing por voz (vishing).

Los atacantes realizan llamadas a los usuarios seleccionados, convenciendo a las víctimas de que necesitan registrar un nuevo passkey. Luego, los usuarios son dirigidos a un kit de phishing que simula el proceso legítimo de inscripción de passkeys de Microsoft, permitiendo a los atacantes registrar su propia passkey en la cuenta de Microsoft de la víctima, lo que les otorga acceso no autorizado.

Aprovechamiento del proceso de seguridad

Este desarrollo se produce en un momento en que Microsoft permite a los administradores configurar campañas de inscripción para motivar a los usuarios a registrar passkeys durante el inicio de sesión, con el objetivo de fomentar su adopción. Sin embargo, los actores maliciosos están abusando de este proceso, utilizando la actualización de seguridad resistente al phishing como un cebo para inscribir sus propios passkeys en las cuentas de las víctimas.

A diferencia de las páginas de phishing típicas que roban credenciales y tokens de autenticación multifactor (MFA), el kit de phishing utilizado en estos ataques permite al operador controlar en tiempo real la experiencia del usuario. Esto incluye adaptar los requisitos de MFA de cada víctima durante la sesión, lo cual facilita aún más el engaño.

Secuencia del ataque

La secuencia de acciones del kit de phishing es la siguiente: 1. La primera página muestra un ícono de carga mientras se realizan comprobaciones en segundo plano. 2. La siguiente página solicita un nombre de usuario. 3. Posteriormente, se pide una contraseña. 4. Las credenciales robadas se envían a un panel del operador.

El operador, que probablemente es distinto de la persona que llama a la víctima, introduce las credenciales robadas en la página de inicio de sesión legítima de Microsoft. La víctima ve una página de "procesando" mientras espera instrucciones del operador. Luego, se presentan diferentes páginas según los desafíos de MFA que se observan, como para la aprobación de un código de un solo uso (OTP) por SMS o una notificación push.

Una vez que la víctima ha sido engañada para aprobar el acceso a su cuenta de Microsoft 365, el ataque continúa con una serie de acciones centradas en el pretexto del passkey. La víctima es redirigida a una página que instruye sobre la creación de un passkey, que incluye pasos para guardar una clave de recuperación y verificar una frase semilla. Este proceso simula una inscripción legítima, mientras que en realidad permite al atacante registrar su propia passkey en la cuenta de Microsoft de la víctima.

Conclusión

Okta ha señalado que el kit de phishing parece aprovechar la falta de familiaridad de los usuarios con la autenticación de passkeys. En un proceso real de registro, los usuarios esperarían un diálogo del sistema para registrar un passkey en su dispositivo. Sin embargo, las páginas de este kit mimetizan este proceso sin llevar a cabo una verdadera inscripción de passkey.

Desde abril de 2026, se ha detectado que un actor relacionado con O-UNC-066 opera un sitio de filtración de datos bajo el nombre de Pink. Palo Alto Networks también está siguiendo este grupo, describiéndolo como parte de una colectividad de cibercriminales descentralizada conocida como The Com, en la que están involucrados otros grupos como Scattered Spider y LAPSUS$.

Fuente

Ver noticia original