Los ciberdelincuentes están promocionando aplicaciones maliciosas que se hacen pasar por servicios conocidos como Adobe y DocuSign para infiltrarse en cuentas de Microsoft 365. Estas apps falsas, que incluyen nombres como Adobe Drive, Adobe Drive X, Adobe Acrobat y DocuSign, están diseñadas para distribuir malware y robar credenciales de acceso. Lo preocupante es que este tipo de ataque puede pasar desapercibido, permitiendo que los atacantes accedan a tu información incluso después de que cambies tu contraseña.
Aplicaciones OAuth maliciosas (Fuente: Proofpoint)
¿Cómo funcionan las aplicaciones maliciosas para robar tus datos?
Estas aplicaciones maliciosas juegan de forma inteligente para pasar desapercibidas. En lugar de pedir permisos demasiado intrusivos que puedan levantar sospechas, solicitan acceso a información que parece inofensiva, como tu perfil, tu correo electrónico y el permiso openid.
Aunque suene poco alarmante, estos permisos les permiten a los atacantes obtener datos clave:
- Perfil: Incluye tu nombre completo, foto de perfil, ID de usuario y nombre de usuario.
- Correo electrónico: Solo acceden a tu dirección principal, sin entrar a tu bandeja de entrada.
- OpenID: Permite confirmar tu identidad y obtener detalles de tu cuenta de Microsoft 365.
Con esta información, los ciberdelincuentes pueden realizar ataques más dirigidos y convincentes. Para distribuir estas aplicaciones maliciosas, los atacantes utilizaron cuentas de correo electrónico previamente comprometidas, muchas de ellas pertenecientes a organizaciones benéficas o pequeñas empresas. Desde allí, enviaron correos electrónicos de phishing dirigidos a sectores clave en EE.UU. y Europa, como el gobierno, la sanidad, la cadena de suministro y el comercio minorista.
Estos correos solían disfrazarse de solicitudes de propuestas (RFP) o falsas ofertas de contratos, lo que hacía que las víctimas confiaran y accedieran a los enlaces maliciosos.
Una vez que alguien otorgaba permisos a la aplicación fraudulenta, esta los redirigía a páginas falsas que mostraban formularios de phishing para robar sus credenciales de Microsoft 365, o bien, descargaban malware en sus dispositivos.
En algunos casos, las víctimas incluso eran llevadas a una página falsa de inicio de sesión de Microsoft 365, alojada en un dominio malicioso. Menos de un minuto después de que se autorizara la app fraudulenta, ya se detectaban intentos sospechosos de inicio de sesión en las cuentas afectadas.
Aunque no se identificó el malware exacto utilizado, los atacantes recurrieron a una técnica conocida como ClickFix, una forma de ingeniería social que ha ganado popularidad en el último año y que se basa en redirigir rápidamente a las víctimas por múltiples páginas para dificultar que detecten el engaño.
Página de destino de ClickFix utilizada en la campaña OAuth maliciosa
Estos ataques no son nada nuevo; de hecho, son muy parecidos a los que se han visto en años anteriores. Esto deja claro que las aplicaciones OAuth siguen siendo una técnica bastante efectiva para que los ciberdelincuentes secuestren cuentas de Microsoft 365 sin necesidad de robar directamente las contraseñas.
Podría interesarte leer: Seguridad Avanzada en Microsoft 365 con TecnetProtect
¿Cómo proteger tu cuenta de Microsoft 365?
Para protegerte, es fundamental que tengas cuidado con las solicitudes de permisos de aplicaciones OAuth. Antes de aceptar cualquier autorización, asegúrate de que provenga de una fuente confiable y legítima.
Si quieres revisar qué aplicaciones ya tienen acceso a tu cuenta, sigue estos pasos:
- Ve a Mis aplicaciones.
- Haz clic en "Administrar sus aplicaciones".
- Si ves alguna app que no reconoces, simplemente revócala desde esa pantalla.
Por otro lado, si eres administrador de Microsoft 365, puedes agregar una capa extra de seguridad restringiendo por completo que los usuarios otorguen permisos a aplicaciones de terceros. Para hacerlo:
- Ve a "Aplicaciones empresariales".
- Luego selecciona "Consentimiento y permisos".
- En la opción "Los usuarios pueden dar su consentimiento a las aplicaciones", elige "No".
No olvides respaldar tu información
Aunque estas medidas pueden prevenir muchos ataques, siempre es recomendable contar con un plan de respaldo sólido para proteger tu información en caso de que algo falle.
TecnetProtect ofrece una solución efectiva para realizar copias de seguridad de tu entorno de Microsoft 365, protegiendo datos de herramientas clave como Outlook, OneDrive, SharePoint y Teams. Esta solución, proporciona una protección avanzada que incluye:
✅ Copias de seguridad automáticas y programadas, para que no tengas que preocuparte por perder información importante.
✅ Almacenamiento seguro en la nube, que garantiza la integridad de tus datos frente a ataques o errores humanos.
✅ Recuperación rápida y sencilla, permitiendo restaurar archivos, correos o configuraciones en cuestión de minutos.
✅ Protección contra ransomware, bloqueando intentos de cifrado malicioso y asegurando que tus datos permanezcan intactos.
Implementar estas medidas de seguridad junto con una solución de respaldo como TecnetProtect es la mejor forma de garantizar que tu entorno de Microsoft 365 esté protegido ante cualquier amenaza.
