Ciberdelincuentes usan aplicaciones falsas de OAuth con el kit Tycoon para vulnerar cuentas de Microsoft 365

Una nueva campaña de ciberataques ha encendido las alertas en el sector de la ciberseguridad. Actores maliciosos están utilizando aplicaciones falsas de Microsoft OAuth, diseñadas para imitar plataformas empresariales legítimas, con el objetivo de tomar el control de cuentas en entornos Microsoft 365.

Según un reciente informe de Proofpoint, los atacantes están creando versiones fraudulentas de aplicaciones como RingCentral, SharePoint, Adobe y DocuSign. Estas apps falsas forman parte de una estrategia sofisticada de phishing respaldada por kits como Tycoon y ODx, capaces de eludir la autenticación multifactor (MFA) mediante técnicas de adversario-en-el-medio (AiTM).

¿Cómo funciona el ataque?

La campaña inicia con correos electrónicos de phishing enviados desde cuentas previamente comprometidas. Estos mensajes suelen presentarse como comunicaciones empresariales, como solicitudes de cotización o acuerdos contractuales, e incluyen enlaces que buscan engañar al usuario.

Al hacer clic, la víctima es redirigida a una página de autorización de Microsoft OAuth, donde se le solicita conceder permisos a una aplicación aparentemente inofensiva, con nombres como “iLSMART”. Aunque los permisos solicitados parecen mínimos (como acceso al perfil básico), permiten al atacante avanzar en su intento de compromiso.

Lo más alarmante es que “iLSMART” es un mercado en línea legítimo que atiende a las industrias de aviación y defensa, lo que hace que la suplantación sea aún más creíble.

Independientemente de si el usuario acepta o rechaza los permisos, es redirigido primero a una página CAPTCHA y luego a un falso portal de inicio de sesión de Microsoft. Esta página emplea técnicas AiTM del servicio Tycoon Phishing-as-a-Service (PhaaS) para robar en tiempo real las credenciales y los códigos MFA.

Un panorama de amenazas en evolución

No se trata de un caso aislado. Proofpoint también identificó recientemente una campaña similar suplantando a Adobe, con correos enviados a través de Twilio SendGrid, una plataforma legítima de marketing por correo. El objetivo sigue siendo el mismo: obtener autorización del usuario o redirigirlo a páginas de phishing.

La actividad relacionada con Tycoon sigue creciendo. Solo en la primera mitad de 2025, se han detectado intentos de compromiso de casi 3,000 cuentas de usuario en más de 900 entornos de Microsoft 365.

Proofpoint advierte que los atacantes están innovando rápidamente sus métodos para evadir las detecciones y comprometer sistemas corporativos. El phishing de credenciales y los ataques basados en identidad se están convirtiendo en el nuevo estándar del crimen cibernético.

La respuesta de Microsoft

Para contrarrestar estas amenazas, Microsoft ha anunciado actualizaciones importantes, entre las que se incluyen:

  • Bloqueo por defecto de protocolos de autenticación heredados
  • Requisito de aprobación de administrador para que aplicaciones de terceros obtengan permisos

Estos cambios se implementarán progresivamente hasta agosto de 2025, y se espera que limiten considerablemente las tácticas de los atacantes que dependen de configuraciones antiguas.

Otras amenazas activas

Mientras tanto, se han detectado otras campañas maliciosas que también explotan la confianza del usuario:

  • Correos de phishing que simulan recibos de pago están entregando el VIP Keylogger, un malware basado en .NET capaz de robar información sensible.
  • Desde noviembre de 2024, se han distribuido enlaces de instalación de software de acceso remoto dentro de archivos PDF disfrazados como facturas o contratos. El objetivo: engañar al usuario para que descargue herramientas como FleetDeck RMM, Action1, Syncro, Atera, entre otras, como vector inicial de acceso.

Aunque aún no se han observado cargas maliciosas posteriores, los investigadores advierten que estas herramientas de administración remota (RMM) podrían facilitar actividades maliciosas posteriores, especialmente en operaciones de ransomware.

Fuente: https://thehackernews.com/2025/08/attackers-use-fake-oauth-apps-with.html