Una nueva campaña de phishing a gran escala está explotando activamente el Microsoft Dynamics 365 Voice de los clientes Solicitud de retroal Autenticación multifactor (MFA). The attack poses a significant threat to the vast number of organizations globally that rely on Microsoft 365 and Dynamics 365 for business operations.
Security researchers at Check Point have Identificó esta campaña, señalando que aprovecha las cuentas comprometidas para enviar correos electrónicos que contienen enlaces de voz del cliente Fake Dynamics 365. Los correos electrónicos están diseñados para parecer legítimos, a menudo centrados en temas financieros como declaraciones de liquidación o información de pago. La campaña ya ha implementado más de 3.370 correos electrónicos, llegando a empleados en más de 350 organizaciones, principalmente en los Estados Unidos, y apuntando a más de un millón de buzones.
La cadena de ataque implica atraer a los destinatarios a hacer clic en enlaces falsos que afirman que han recibido un nuevo correo de voz o documento PDF. Los usuarios primero se dirigen a una prueba Captcha, una táctica destinada a prestar un aire de autenticidad. Después de esto, las víctimas se envían a un sitio de phishing diseñado para imitar una página de inicio de sesión de Microsoft, donde los atacantes intentan robar credenciales. Los ataques exitosos otorgan a los ciberdelincuentes el acceso no autorizado a la información y los sistemas confidenciales, lo que puede conducir a cuentas internas manipuladas, robo de fondos e interrupciones operativas.
El enlace de phishing a menudo no aparece hasta el paso final. Check Point dice que”los usuarios se dirigen primero a una página legítima, por lo que flotar sobre la URL en el cuerpo de correo electrónico no proporcionará protección”. El enlace de phishing a menudo redirige a los usuarios a través de varias páginas intermedias antes de aterrizar en la página final de phishing.
Los atacantes explotan plataformas como los formularios de marketing de Dynamics 365 porque están alojados en un servicio confiable de Microsoft, lo que hace que los filtros de seguridad tradicionales sean con menos probabilidades de ser marcados por los filtros de seguridad tradicionales. Los formularios de dinámica 365 usan certificados SSL legítimos, como los de https://forms.office.com o https://yourcompanyname.dynamics.com, que pueden ayudar a evadir las herramientas de detección de phishing que verifican los certificados no válidos o sospechosos. Autenticación multifactor. Esto a menudo se logra mediante el uso de kits de herramientas sofisticados de phishing as-a-Service (PHAAS).
Un ejemplo notable es Rockstar 2FA, que se está utilizando en campañas dirigidas a las credenciales de Microsoft 365, incluidas la voz de los clientes 365, y está diseñado para el MFA de MFA.
RockStar 2fa. Ataque para interceptar las credenciales de los usuarios y las cookies de sesión, lo que significa que incluso los usuarios con MFA habilitados aún pueden ser vulnerables. Microsoft rastrea a los desarrolladores y distribuidores del kit de phishing Dadsec/Phoenix, relacionado con Rockstar 2FA, 2FA está disponible a través de un modelo de suscripción, que cuesta $ 200 por dos semanas o $ 350 por un mes, en plataformas como ICQ, Telegram y Mail.ru, permitiendo a los ciberdelincuentes con poca experiencia técnica para montar campañas a escala.
El kit de herramientas incluye características como 2fa bypass, cookie cosecha, protección contra la protección antibot utilizando cloudflare giran, costumbres de registro personalizables the the thes thepass thepass thepass, the thepass, theS de los cuentos, la protección de la costumbres de la costilla, las medidas de registro personalizables, las funciones de los servicios populares de la costumbres, las medidas de registro de la costumbre, los servicios de la caja de registro personalizables, las funciones de los servicios populares, los servicios populares de la cocción. enlaces indetectables (FUD) e integración de bot de telegrama.
Campañas de correo electrónico utilizando Rockstar 2FA Apalancamiento diversos vectores de acceso inicial como URL, códigos QR y archivos adjuntos de documentos. Las plantillas de señuelo utilizadas con Rockstar 2FA van desde notificaciones de intercambio de archivos hasta solicitudes de firmas electrónicas. Los atacantes usan redirectores de enlace legítimos como mecanismo para evitar la detección de antispam.
contexto y mitigación más amplios
Una vez dentro de una cuenta comprometida, los cibercriminales actúan rápidamente. Pueden lanzar Compromisos de correo electrónico de negocios (bec). Los atacantes también manipulan la configuración de correo electrónico para ocultar su actividad, creando reglas de filtrado para eliminar automáticamente las notificaciones de seguridad. Para evitar la detección, pueden usar servicios VPN, haciendo que sus inicios de sesión parezcan originarse en la ubicación habitual de la víctima.
Microsoft ha tomado medidas, bloqueando algunas de las páginas de phishing utilizadas en la campaña. Sin embargo, algunos correos electrónicos maliciosos aún pueden haber llegado a las bandejas de entrada antes de que se retiraran estas páginas. Microsoft frustró $ 4 mil millones en intentos de fraude, rechazó 49,000 inscripciones de asociación fraudulenta y bloqueó aproximadamente 1.6 millones de intentos de registro de bot entre abril de 2024 y abril de 2025, según Microsoft Security Blog . En enero de 2025, exige que los equipos de productos realicen evaluaciones de prevención de fraude e implementen controles de fraude como parte de su proceso de diseño como se señaló en su publicación de blog.
Más allá de esta campaña específica, el uso del phishing para obtener credenciales sigue siendo un vector de amenaza prevalente. A principios de este año, se observó que un ataque de phishing masivo separado fingió los portales de inicio de sesión de Microsoft ADFS para secuestrar cuentas de correo electrónico comercial, lo que demuestra que los sistemas de autenticación de Microsoft son objetivos continuos.
que la campaña también capturó credenciales y códigos de MFA en tiempo real, destacando la vulnerabilidad de los sistemas de autenticación federados como los ADF. The shift toward phishing-based credential theft aligns with a broader trend in modern cyberattacks.
The broader cybersecurity landscape shows attackers increasingly relying on legitimate cloud infrastructure to host phishing pages as found in a Fortra report and leveraging artificial intelligence to enhance their attacks.
AI-driven phishing has led to a sharp rise in successful attacks Al mejorar la calidad y la personalización de los correos electrónicos fraudulentos de acuerdo con un análisis de Netskope. Los grupos de piratería patrocinados por el estado también están utilizando AI para refinar las operaciones cibernéticas, incluidos el phishing y el reconocimiento, aunque la IA aún no ha creado métodos de ataque fundamentalmente nuevos.
microsoft anotado que”ai ha comenzado a iniciar el thebroud y el cyberCeud y cyberCrime Los actores que buscan sus propias herramientas de productividad, lo que hace que sea más fácil y más barato generar contenido creíble para los ataques cibernéticos a un ritmo cada vez más rápido”. Las herramientas de inteligencia artificial pueden escanear y raspar la web para obtener información de la compañía, ayudando a los ciberactores cibernéticos a construir perfiles detallados de empleados u otros objetivos para crear señuelos de ingeniería social altamente convincente.
Otro ejemplo reciente de atacantes que explotan sistemas legítimos para phishing implica falsificar sistemas de correo electrónico de Google al reutilizar las firmas de DKIM válidas. Esta técnica manipula el marco Oauth de Google para enviar correos electrónicos que aparecieron auténticamente firmados, sin pasar por las controles DMARC. Subraya una tendencia más amplia en la que los atacantes abusan de las plataformas y protocolos de confianza para prestar legitimidad a sus estafas.
para fortalecer las defensas contra los ataques de phishing basados en la identidad, los expertos en ciberseguridad recomiendan un enfoque de varias capas. Para las organizaciones que aún usan ADF, se recomienda la transición a Microsoft Entra ID, ya que ofrece más métodos de autenticación resistentes a phishing.
Implementación de Solutiones de seguridad de correo electrónico , monitoreando la actividad de la actividad y la actividad de las soluciones de seguridad de los correos electrónicos , monitoreando la actividad y la actividad de la tecnología y el control de la actividad de las soluciones de seguridad de los correos electrónicos, y proporcionan una actividad regular y proporcionan una actividad de seguridad de los correos electrónicos. La capacitación en conciencia de seguridad también son pasos cruciales. Los empleados deben ser educados para identificar intentos de phishing y verificar solicitudes de inicio de sesión inusuales con su departamento de TI. El movimiento hacia los marcos de seguridad de la confianza cero, que requiere una verificación continua, también se considera un estándar futuro.
