Investigadores de ciberseguridad han alertado sobre una nueva oleada de actividad delictiva en la que actores de amenazas están creando aplicaciones falsas de Microsoft OAuth. Estas aplicaciones imitan a diversas empresas reconocidas, como RingCentral, SharePoint, Adobe y Docusign, con el objetivo de robar credenciales de usuarios y facilitar ataques de toma de cuenta. La campaña, detectada por primera vez a principios de 2025, se encuentra en aumento, con casi 3,000 intentos de comprometer cuentas en más de 900 entornos de Microsoft 365.
Actualizaciones de seguridad
Las tácticas utilizadas incluyen el envío de correos electrónicos desde cuentas comprometidas que intentan engañar a las víctimas hacieno que hagan clic en enlaces que parecen solicitudes de cotizaciones o acuerdos comerciales. Al seguir estos enlaces, los usuarios son redirigidos a una página falsa de autenticación de Microsoft para la aplicación denominada iLSMART, la cual pide permisos para acceder a sus perfiles y datos. La petición de acceso es un eslabón en la cadena de ataque, ya que aunque los permisos otorgados son limitados, se utilizan para configurar la siguiente etapa de la intrusión.
Los investigadores han identificado que estas campañas utilizan técnicas de phishing adversario-en-el-medio (AitM) potenciadas por plataformas de Phishing como servicio , como es el caso del kit Tycoon. Además, otras campañas de spam han estado empleando documentos PDF disfrazados como facturas para engañar a los usuarios y llevarlos a instalar malware.
Ante esta creciente amenaza, Microsoft ha anunciado planes para mejorar la seguridad mediante la actualización de configuraciones predeterminadas, que incluirá el bloqueo de protocolos de autenticación heredados y la necesidad de consentimiento administrativo para el acceso de aplicaciones de terceros. Estas mejoras esperan desbaratar las tácticas de los atacantes y proteger mejor la identidad de los usuarios en un panorama cada vez más complejo y arriesgado.