Ciberdelincuentes están empleando una nueva táctica para infiltrarse en cuentas de Microsoft 365. Utilizan aplicaciones OAuth falsas, que imitan servicios conocidos, para robar credenciales y códigos de autenticación multifactor (MFA), evadiendo las defensas de seguridad.
Investigadores de ciberseguridad han detectado una nueva campaña donde actores maliciosos se hacen pasar por empresas legítimas usando aplicaciones falsas de Microsoft OAuth. El objetivo es recolectar credenciales y tomar control de cuentas, especialmente en ataques dirigidos a Microsoft 365 (Fuente The Hackers News).
Estas aplicaciones fraudulentas simulan ser de compañías como RingCentral, SharePoint, Adobe y Docusign. La campaña, activa desde principios de 2025, emplea estas aplicaciones OAuth como un punto de entrada para obtener acceso no autorizado a las cuentas de Microsoft 365 de los usuarios, a través de kits de phishing como Tycoon y ODx, capaces de sortear la autenticación multifactor.
Los ataques suelen iniciarse con correos electrónicos de phishing enviados desde cuentas comprometidas. Estos correos engañan a los destinatarios para que hagan clic en enlaces, bajo pretextos como solicitudes de cotización o acuerdos comerciales. Al hacer clic, las víctimas son redirigidas a una página de Microsoft OAuth para una aplicación llamada «iLSMART», que pide permisos para ver su perfil básico y mantener acceso continuo a sus datos.
Lo notable de este ataque es la suplantación de ILSMart, un mercado legítimo en las industrias de aviación, marina y defensa. Tras aceptar o denegar los permisos, la víctima es llevada a una página CAPTCHA y luego a una página falsa de autenticación de Microsoft. Esta página fraudulenta utiliza técnicas de phishing de tipo «adversario en el medio» (AitM), potenciadas por la plataforma Tycoon Phishing-as-a-Service (PhaaS), para robar las credenciales y los códigos MFA de la víctima.
En 2025, se han observado intentos de compromiso que afectaron a casi 3.000 cuentas de usuarios en más de 900 entornos de Microsoft 365. Expertos anticipan que los ciberdelincuentes se enfocarán cada vez más en la identidad de los usuarios, con el phishing de credenciales AitM convirtiéndose en un estándar en la industria criminal. Microsoft ha anunciado planes para actualizar la configuración predeterminada, bloqueando protocolos de autenticación heredados y exigiendo el consentimiento del administrador para el acceso de aplicaciones de terceros, lo que se espera que tenga un impacto positivo en el panorama de la seguridad.
infosertecla.com 