Los actores de amenazas que participan en ataques de phishing están explotando escenarios de enrutamiento y protecciones falsas mal configuradas para hacerse pasar por dominios de organizaciones y distribuir correos electrónicos que parecen haber sido enviados internamente.
«Los actores de amenazas han aprovechado este vector para entregar una amplia variedad de mensajes de phishing relacionados con varias plataformas de phishing como servicio (PhaaS), como Tycoon 2FA», dijo el equipo de Microsoft Threat Intelligence en un informe del martes. «Estos incluyen mensajes con señuelos relacionados con correos de voz, documentos compartidos, comunicaciones de departamentos de recursos humanos (RR.HH.), restablecimientos o vencimientos de contraseñas, y otros, que conducen al phishing de credenciales».
Si bien el vector de ataque no es necesariamente nuevo, el gigante tecnológico dijo que ha sido testigo de un aumento en el uso de la táctica desde mayo de 2025 como parte de campañas oportunistas dirigidas a una amplia variedad de organizaciones en múltiples industrias y verticales. Esto incluye una campaña que ha empleado correos electrónicos falsos para realizar estafas financieras contra organizaciones.
Un ataque exitoso podría permitir a los actores de amenazas desviar credenciales y aprovecharlas para actividades posteriores, que van desde el robo de datos hasta el compromiso del correo electrónico empresarial (BEC).
El problema se manifiesta principalmente en escenarios en los que un inquilino ha configurado un escenario de enrutamiento complejo y las protecciones contra suplantación de identidad no se aplican estrictamente. Un ejemplo de enrutamiento complejo implica señalar el registro del intercambiador de correo (registro MX) a un entorno Exchange local o a un servicio de terceros antes de llegar a Microsoft 365.
Esto crea una brecha de seguridad que los atacantes pueden aprovechar para enviar mensajes de phishing falsificados que parecen originarse en el propio dominio del inquilino. Se ha descubierto que la gran mayoría de las campañas de phishing que aprovechan este enfoque utilizan el kit Tycoon 2FA PhaaS. Microsoft dijo que bloqueó más de 13 millones de correos electrónicos maliciosos vinculados al kit en octubre de 2025.
Los kits de herramientas PhaaS son plataformas plug-and-play que permiten a los estafadores crear y gestionar campañas de phishing fácilmente, haciéndolas accesibles incluso para aquellos con habilidades técnicas limitadas. Proporcionan funciones como plantillas de phishing personalizables, infraestructura y otras herramientas para facilitar el robo de credenciales y eludir la autenticación multifactor mediante el phishing de adversario en el medio (AiTM).
El fabricante de Windows dijo que también detectó correos electrónicos destinados a engañar a las organizaciones para que paguen facturas falsas, lo que podría provocar pérdidas financieras. Los mensajes falsificados también se hacen pasar por servicios legítimos como DocuSign o afirman ser de Recursos Humanos con respecto a cambios salariales o de beneficios.
Los correos electrónicos de phishing que propagan estafas financieras a menudo se parecen a una conversación entre el director ejecutivo de la organización objetivo, un individuo que solicita un pago por los servicios prestados o el departamento de contabilidad de la empresa. También contienen tres archivos adjuntos para darle al plan una falsa sensación de confianza:
- Una factura falsa por miles de dólares se transferirá a una cuenta bancaria
- Un formulario W-9 del IRS que indique el nombre y el número de seguro social de la persona utilizada para configurar la cuenta bancaria.
- Supuestamente, un empleado del banco en línea utilizado para configurar la cuenta fraudulenta proporcionó una carta bancaria falsa.
«Pueden emplear enlaces en los que se puede hacer clic en el cuerpo del correo electrónico o códigos QR en archivos adjuntos u otros medios para lograr que el destinatario navegue a una página de inicio de phishing», añadió. «La apariencia de haber sido enviado desde una dirección de correo electrónico interna es la distinción más visible para un usuario final, a menudo con la misma dirección de correo electrónico utilizada en los campos ‘Para’ y ‘De'».
Para contrarrestar este riesgo, se recomienda a las organizaciones que establezcan políticas estrictas de rechazo de autenticación, informes y conformidad de mensajes basados en dominio (DMARC) y del marco de políticas del remitente (SPF) y que configuren adecuadamente conectores de terceros, como servicios de filtrado de spam o herramientas de archivo.
Vale la pena señalar que los inquilinos con registros MX apuntados directamente a Office 365 no son vulnerables al vector de ataque. Además, se recomienda desactivar el envío directo si no es necesario para rechazar correos electrónicos que suplanten los dominios de la organización.