Una vulnerabilidad en un servidor web ha permitido descubrir tres campañas de phishing en curso contra cuentas de Microsoft 365. La falla, no por una vulnerabilidad avanzada, sino por una mala práctica de configuración, permitió el acceso a información suficiente para reconstruir la infraestructura y tácticas utilizadas en las operaciones.
Los atacantes, identificados como codemado, mail-argenta y saroula01, emplearon bifurcaciones de Evilginx de repositorios públicos.
Se destacan dos técnicas de phishing: el phishing AiTM con proxy inverso, que captura cookies de sesión y evita la MFA tradicional, y el abuso del flujo OAuth Device Code, que obtiene tokens sin clonar la pantalla de inicio de sesión.
En una variante conocida como red-queen, los atacantes modificaron atributos HTML para evitar Subresource Integrity y establecieron un TTL de un año para las cookies capturadas. Se han encontrado cookies con caducidad hasta el 30 de junio de 2027, lo que resalta la importancia de controles adicionales en sesiones.

La campaña basada en Device Code acumuló 218 víctimas en 12 países, con un enfoque en buzones corporativos. Se recuperaron tokens con autoRefresh y renovaciones repetidas, sugiriendo automatización para mantener sesiones activas.
Este caso ilustra la evolución del robo de credenciales al control continuado, con herramientas RMM para persistencia y gestión posterior. La defensa implica MFA resistente al phishing y políticas sólidas de Acceso Condicional, minimizando excepciones para flujos de Device Code.
La higiene en la gestión de tokens es crucial para evitar el acceso no autorizado a cuentas corporativas.
Etiquetas: Tecnología, Seguridad, Microsoft 365, Phishing, Tecnología · Big Tech y antitrust
