Investigadores de Proofpoint han detectado campañas dirigidas que usan aplicaciones maliciosas disfrazadas de Adobe Drive, Adobe Acrobat y DocuSign para robar credenciales y distribuir malware en cuentas de Microsoft 365.
¿Cómo Funcionan Estos Ataques? ️♂️
Las aplicaciones maliciosas se hacen pasar por servicios confiables como Adobe y DocuSign. Así, logran Solicitar permisos de bajo riesgo para evitar levantar sospechas, incluyendo:
- Profile: Nombre completo, foto de perfil, ID de usuario.
- Email: Correo electrónico principal (sin acceso a la bandeja de entrada).
- OpenID: Identidad del usuario y detalles de la cuenta de Microsoft.
Las víctimas reciben correos de empresas pequeñas o instituciones benéficas comprometidas. Los correos incluyen enlaces disfrazados de solicitudes de propuestas (RFPs) o contratos falsos.
¿Qué Sucede si un Usuario Autoriza la Aplicación?
1️⃣ Los atacantes acceden a la información básica de la cuenta.
2️⃣ Redirigen a la víctima a una página de phishing de Microsoft 365 o un sitio malicioso con malware.
3️⃣ En menos de un minuto, se detectan intentos de acceso sospechosos desde nuevas ubicaciones.
Aunque los permisos iniciales son limitados, los atacantes pueden usarlos para futuros ataques más dirigidos.
¿Cómo Protegerse de estas campañas? ⚠️
✅ Nunca aceptes permisos OAuth sin verificar la aplicación y su origen.
✅ Revisa qué aplicaciones tienen acceso a tu cuenta en My Apps → “Administrar tus aplicaciones”.
✅ Si ves una aplicación sospechosa, revoca su acceso inmediatamente.
✅ Los administradores de Microsoft 365 pueden bloquear el consentimiento de apps de terceros en:
Enterprise Applications → Consent and Permissions → Configurar “Los usuarios pueden consentir aplicaciones” en “No”.
Mantente alerta! La seguridad de tu cuenta depende de las decisiones que tomes.