¿Cómo operan los ciberdelincuentes a través del robo de cookies?

Más de 10.000 organizaciones de todo el mundo han sido el objetivo en el último año de una campaña masiva de phishing basada en el robo de las cookies de sesión, capaz de sortear la autenticación de dos pasos, para acceder a cuentas de email legítimas desde las que lanzar un ataque de compromiso de correo electrónico comercial (BEC).

Microsoft ha alertado de una campaña masiva de phishing que utilizó sitios fraudulentos de adversario en el medio (AiTM) para robar la cookie de sesión de los usuarios, un tipo de cookie que guarda la información de inicio de sesión del usuario en una web cuando esta ha sido exitosa, manteniéndola activa.

Para el robo de la cookie de sesión no se aprovechó una vulnerabilidad como tal, sino que los ciberatacantes establecieron un servidor web entre el usuario y la página legítima para interceptar el proceso de inicio de sesión, con el que obtuvieron tanto las credenciales como la cookie.

LEE TAMBIÉN: Más de 44 mil peruanos fueron capacitados en cursos de alfabetización digital y producción

Con esta cookie, los ciberatacantes pueden replicar el inicio de sesión del usuario, haciéndose pasar por él. Este acceso no autorizado a la cuenta sucede incluso si la víctima tenía activado un sistema de autenticación de dos factores, como ha destacado la compañía en un comunicado.

Mediante este procedimiento, los ciberatacantes lograron acceder a la cuenta correo de los usuarios afectados, un correo legítimo, desplegando desde ella una campaña masiva de compromiso de correo electrónico comercial para llegar a nuevas víctimas.

En concreto, y como detalla la compañía, Microsoft 365 Defender detectó el intento de la campaña de phishing AiTM de impactar en más de 10.000 organizaciones, usuarios de Office 365, desde septiembre del año pasado.

En la campaña BEC, los correos fraudulentos enviados desde direcciones legítimas tenían adjunto un archivo que decía ser un mensaje de voz pese a no descargar un archivo mp3, sino uno HTML. Una vez descargado, la víctima era redirigida a una página falsa que solicitaba la autenticación en Azure AD, pudiendo de esta forma interceptar las credenciales y actuar desde dentro de la organización.

LEE TAMBIÉN: Microsoft notificará a usuarios el fin de Windows 8.1

El objetivo final de esta campaña es el fraude financiero, es decir, engañar a las víctimas para que realicen transferencias de dinero haciéndose pasar por la organización.

Para pasar desapercibidos, los ciberatacantes eliminaban los correos electrónicos fraudulentos que enviaban desde las cuentas legítimas, y estaban pendientes de las respuestas al email enviado, procediendo a su eliminación lo antes posible, para evitar levantar sospechas.

Pese a que esta campaña de phishing AiTM sortea la capa de seguridad adicional que provee la autenticación de dos factores, desde Microsoft insisten en que este sigue siendo un mecanismo “muy eficaz para detener una amplia variedad de amenazas”, aunque recomiendan complementarlo con soluciones antiphishing avanzadas, políticas de acceso condicional y la supervisión de los inicios de sesión para detectar actividades sospechosas.