Los investigadores de ciberseguridad han detallado un nuevo clúster de actividad donde los actores de amenaza están haciendo pasar por empresas con aplicaciones falsas de Microsoft Oauth para facilitar la recolección de credenciales como parte de los ataques de adquisición de cuentas.
«Las aplicaciones falsas de Microsoft 365 se hacen pasar por varias compañías, incluidas RingCentral, SharePoint, Adobe y Docusign», dijo Proofpoint en un informe del jueves.
La campaña en curso, detectada por primera vez a principios de 2025, está diseñada para utilizar las aplicaciones OAuth como una puerta de enlace para obtener acceso no autorizado a las cuentas de Microsoft 365 de los usuarios mediante kits de phishing como magnate y ODX que son capaces de llevar a cabo la phishing de autenticación multifactor (MFA).
La compañía de seguridad empresarial dijo que observó que el enfoque se utiliza en campañas de correo electrónico con más de 50 aplicaciones ilegativas.
Los ataques comienzan con los correos electrónicos de phishing enviados desde cuentas comprometidas y tienen como objetivo engañar a los destinatarios para que haga clic en URL con el pretexto de compartir solicitudes de cotizaciones (RFQ) o acuerdos de contratos comerciales.
Al hacer clic en estos enlaces, dirige a la víctima a una página de Microsoft OAuth para una aplicación llamada «Ilsmart» que les pide que le otorguen permisos para ver su perfil básico y mantener el acceso continuo a los datos a los que se les ha otorgado acceso.
Lo que hace que este ataque sea notable es la suplantación de Ilsmart, un mercado legítimo en línea para las industrias de aviación, marina y de defensa para comprar y vender piezas y servicios de reparación.
«Los permisos de las aplicaciones proporcionarían un uso limitado a un atacante, pero se utiliza para establecer la siguiente etapa del ataque», dijo Proofpoint.
Independientemente de si el objetivo aceptó o negó los permisos solicitados, primero se redirigen a una página de Captcha y luego a una página de autenticación de cuentas de Microsoft falsa una vez que se completa la verificación.
Esta página falsa de Microsoft utiliza técnicas de phishing adversary-in-the-Middle (AITM) impulsadas por la plataforma Tycoon Phishing-As-A-Service (PHAAS) para cosechar las credenciales y los códigos MFA de la víctima.
Tan recientemente como el mes pasado, Proofpoint dijo que detectó otra campaña que se hace pasar por Adobe en la que se envían los correos electrónicos a través de Twilio SendGrid, una plataforma de marketing por correo electrónico, y están diseñados con el mismo objetivo en mente: obtener autorización del usuario o activar un flujo de cancelación que redirige a la víctima a una página de phishing.
La campaña representa solo una caída en el cubo en comparación con la actividad general relacionada con el magnate, con los múltiples grupos aprovechando el juego de herramientas para realizar ataques de adquisición de cuentas. Solo en 2025, se han observado un intento de compromiso de cuenta que afectan a casi 3.000 cuentas de usuarios que abarcan más de 900 entornos de Microsoft 365.
«Los actores de amenaza están creando cadenas de ataque cada vez más innovadoras en un intento de evitar detecciones y obtener acceso a las organizaciones a nivel mundial», dijo la compañía, y agregó que «anticipa que los actores de amenaza se dirigirán cada vez más a la identidad de los usuarios, con el phishing de credencial de AITM convirtiéndose en el estándar de la industria criminal».
A partir del mes pasado, Microsoft ha anunciado planes para actualizar la configuración predeterminada para mejorar la seguridad bloqueando los protocolos de autenticación heredados y requerir el consentimiento de administrador para el acceso a la aplicación de terceros. Se espera que las actualizaciones se completen en agosto de 2025.
«Esta actualización tendrá un impacto positivo en el paisaje en general y los actores de amenazas de los isquiotibiales que usan esta técnica», señaló Proofpoint.
La divulgación sigue a la decisión de Microsoft de deshabilitar los enlaces de libros de trabajo externos a los tipos de archivos bloqueados de manera predeterminada entre octubre de 2025 y julio de 2026 en un intento de mejorar la seguridad del libro de trabajo.
Los hallazgos también se producen cuando los correos electrónicos de phishing de lanza que llevan los supuestos recibos de pago se utilizan para implementar mediante un inyector basado en autopsia, una pieza de malware .NET llamado Keylogger VIP que puede robar datos confidenciales de hosts comprometidos, dijo SeqRite.
En el transcurso de varios meses, se han visto campañas de spam ocultando enlaces de instalación al software de escritorio remoto dentro de los archivos PDF para evitar las defensas de correo electrónico y malware. Se cree que la campaña estaba en curso desde noviembre de 2024, principalmente dirigidas a entidades en Francia, Luxemburgo, Bélgica y Alemania.
«Estos PDF a menudo están disfrazados de parecer facturas, contratos o listados de propiedades para mejorar la credibilidad y atraer a las víctimas a hacer clic en el enlace integrado», dijo WithSegure. «Este diseño estaba destinado a crear la ilusión de contenido legítimo que se ha oscurecido, lo que llevó a la víctima a instalar un programa. En este caso, el programa fue FleetDeck RMM».
Otras herramientas de monitoreo y gestión remota (RMM) implementadas como parte del clúster de actividad incluyen Action1, Optitune, Bluetrait, Syncro, SuperOps, Atera y Screenconnect.
«Aunque no se han observado cargas útiles posteriores a la infección, el uso de herramientas RMM sugiere fuertemente su papel como vector de acceso inicial, lo que potencialmente permite una mayor actividad maliciosa», agregó la compañía finlandesa. «Los operadores de ransomware en particular han favorecido este enfoque».