Meta News

Los responsables están perfeccionando sus tácticas de phishing con SquarePhish2 y Graphish para infiltrarse en cuentas de Microsoft e Outlook 365 (M365). Estas campañas explotan el flujo de autorización OAuth 2.0 de dispositivos, originalmente diseñado para dispositivos sin teclado, pero reutilizado como un camino de acceso ilegal a los datos corporativos. Herramientas utilizadas: SquarePhish2 y Graphish. Ambos marcos permiten a los atacantes industrializar sus campañas, reduciendo la necesidad de infraestructura propietaria e incrementando la efectividad de la estafa. El flujo de ataque implica generar un device_code y user_code con SquarePhish2 o Graphish, contactar al victimario por correo electrónico o teléfono para engañarlos en que ingresen estos códigos en microsoft.com/devicelogin, autenticarse mediante Multi-Factor Authentication (MFA), mientras el atacante consulta la interfaz de punto final del token de Microsoft con su device_code. Microsoft emite tokens OAuth directamente al atacante, saltándose MFA. El resultado es un acceso completo a Microsoft 365 sin credenciales robadas, lo que hace que la detección sea desafiante. Las autenticaciones aparentemente legítimas en dominios seguros y tráfico cifrado complican las fuerzas operativas. La detección requiere visibilidad sobre los eventos de emisión de tokens OAuth y monitoreo de comportamiento más allá de los Indicators of Compromise (IOC) tradicionales. Los riesgos clave incluyen acceso persistente a través de token de actualización, robo de datos desde aplicaciones SaaS como Salesforce, Slack, Dropbox, SAP, etc., y dificultad en la detección ya que el ataque se mezcla con procesos legítimos de Microsoft.