Campaña de phishing en Microsoft 365 puede eludir la autenticación multifactor.

Investigadores han descubierto una nueva campaña de phishing que utiliza Dynamics 365 Customer Voice, una herramienta legítima de Microsoft, con el objetivo de robar credenciales de acceso de los usuarios. Este hallazgo fue publicado en un blog por expertos de Check Point, quienes indicaron que los atacantes envían correos electrónicos de phishing desde cuentas previamente comprometidas, incluyendo enlaces falsos de Dynamics 365 Customer Voice.

Dynamics 365 Customer Voice es un servicio que permite a las empresas recopilar, analizar y actuar sobre la retroalimentación de los clientes en tiempo real. Esta plataforma cuenta con más de 500,000 usuarios, incluidos el 97% de las empresas en la lista Fortune 500. Según los investigadores, el paisaje de amenazas es amplio y poderoso debido a la cantidad de organizaciones que utilizan esta herramienta.

Los correos electrónicos están centrados en temas financieros. Las líneas de asunto suelen referirse a declaraciones de liquidación, información de pagos EFT o divulgaciones de cierre. En algunos casos, los correos incluyen un enlace malicioso que redirige a una página de CAPTCHA antes de llevar a la víctima a una página diseñada para roba credenciales.

Además, los investigadores señalaron que los atacantes pueden capturar códigos de autenticación multifactor (MFA), aunque no especificaron cómo lo llevaban a cabo. Hasta el momento, los atacantes han enviado más de 3,000 correos electrónicos, alcanzando al menos un millón de bandejas de entrada que pertenecen a más de 350 organizaciones. Las víctimas incluyen grupos comunitarios consolidados, universidades, medios de comunicación, una destacada organización de información de salud y entidades que promueven las artes y la cultura.

Lamentablemente, no ha sido posible determinar cuántas credenciales han podido obtener los delincuentes hasta ahora, aunque se informa que Microsoft ya ha bloqueado algunas de las páginas de phishing involucradas.