AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**CoPhish: Nueva técnica de phishing explota Microsoft Copilot Studio para robar credenciales mediante OAuth**

admin

### Introducción

En el actual panorama de ciberamenazas, los ataques de phishing continúan evolucionando, adaptándose a las nuevas tecnologías y aprovechando la confianza depositada en plataformas ampliamente utilizadas. Recientemente se ha identificado una sofisticada técnica de phishing, denominada “CoPhish”, que utiliza agentes de Microsoft Copilot Studio para el envío de solicitudes de consentimiento OAuth fraudulentas, sirviéndose de dominios legítimos de Microsoft. Este enfoque innovador eleva el nivel de peligro, dado que explota mecanismos de autenticación y autorización ampliamente aceptados, comprometiendo la seguridad incluso de usuarios experimentados y sistemas corporativos protegidos.

### Contexto del Incidente

El ataque CoPhish ha sido detectado por equipos de respuesta a incidentes y analistas de amenazas a finales del segundo trimestre de 2024. A diferencia de las campañas tradicionales de phishing basadas en el envío de correos electrónicos maliciosos, esta campaña se caracteriza por su capacidad para abusar de los flujos de trabajo automatizados y las integraciones de Microsoft Copilot Studio (anteriormente conocido como Power Virtual Agents) en entornos corporativos de Microsoft 365.

El vector principal del ataque reside en la creación y distribución de agentes Copilot maliciosos que, integrados con aplicaciones de Azure, son capaces de iniciar solicitudes de consentimiento OAuth a través de URLs legítimas de Microsoft. Estas solicitudes solicitan permisos excesivos o peligrosos sobre las cuentas de los usuarios, bajo la apariencia de procesos empresariales legítimos.

### Detalles Técnicos

#### Identificadores y CVE

Hasta la fecha, Microsoft no ha asignado un CVE específico a esta técnica, ya que más que una vulnerabilidad de software, CoPhish explota un uso malicioso de funcionalidades legítimas (lo que se conoce como un «abuso de diseño»).

#### Vectores de Ataque

1. **Creación del agente malicioso**: El atacante crea un agente Copilot personalizado mediante Microsoft Copilot Studio, configurando la integración con una aplicación Azure AD controlada por el propio atacante.
2. **Distribución**: El agente Copilot es compartido con usuarios corporativos mediante enlaces a dominios legítimos de Microsoft (por ejemplo, *.microsoft.com, *.powerappsportals.com).
3. **Consentimiento OAuth**: Al interactuar con el agente, el usuario recibe una solicitud de consentimiento OAuth que aparenta provenir de una aplicación empresarial legítima, pero en realidad otorga permisos a la aplicación maliciosa.
4. **Robo de tokens y acceso persistente**: Una vez aceptado el consentimiento, el atacante obtiene tokens de acceso y refresh tokens, pudiendo acceder a datos sensibles (correo, archivos, contactos, etc.) sin necesidad de credenciales adicionales.

#### TTP según MITRE ATT&CK

– **T1078 (Valid Accounts)**: Uso de cuentas válidas tras el compromiso.
– **T1550.001 (Application Access Token)**: Robo de tokens de acceso OAuth.
– **T1566.001 (Spearphishing Link)**: Uso de enlaces de phishing en dominios legítimos.
– **T1114 (Email Collection)**: Acceso a buzones comprometidos mediante API Graph.
– **T1192 (Spearphishing via Service)**: Abuso de servicios de confianza para el envío de campañas.

#### Indicadores de Compromiso (IoC)

– URLs de consentimiento OAuth con scopes inusuales asociados a aplicaciones no auditadas.
– Aplicaciones Azure AD desconocidas registradas en el tenant.
– Actividad inusual de agentes Copilot en logs de Microsoft 365.
– Tokens de acceso generados desde ubicaciones geográficas anómalas.

#### Herramientas y frameworks

No se han detectado exploits públicos en Metasploit o similares, pero se ha observado el empleo de scripts personalizados y herramientas de automatización para la creación masiva de agentes y apps fraudulentas.

### Impacto y Riesgos

El impacto potencial de CoPhish es elevado, especialmente en entornos corporativos con integración profunda en el ecosistema Microsoft 365. Los principales riesgos incluyen:

– **Compromiso de cuentas corporativas**: Acceso no autorizado a correo, OneDrive, SharePoint y Teams.
– **Robo de información confidencial**: Exfiltración de documentos internos, datos de clientes y propiedad intelectual.
– **Elevación de privilegios**: En escenarios donde se otorgan scopes privilegiados (por ejemplo, “Mail.ReadWrite”, “Files.ReadWrite.All”).
– **Persistencia**: El uso de refresh tokens permite al atacante mantener el acceso incluso tras el cambio de contraseñas.
– **Dificultad de detección**: El tráfico y las solicitudes provienen de dominios legítimos, dificultando el filtrado por parte de soluciones de seguridad tradicionales.

Según estimaciones de consultoras de ciberseguridad, hasta un 1,8% de las organizaciones de Microsoft 365 pueden haber estado expuestas a este vector, con un coste potencial de incidentes que puede superar los 3 millones de euros en entornos altamente regulados (GDPR, NIS2).

### Medidas de Mitigación y Recomendaciones

– **Revisión periódica de aplicaciones autorizadas en Azure AD**: Identificar y eliminar apps no reconocidas o con permisos excesivos.
– **Deshabilitar la auto-aprobación de apps de terceros**: Restringir la capacidad de los usuarios para conceder consentimientos sin supervisión.
– **Educación y concienciación**: Formar a los usuarios sobre los riesgos de otorgar permisos a aplicaciones desconocidas, incluso si provienen de dominios de confianza.
– **Monitorización de logs**: Implementar reglas de detección en SIEM para monitorizar solicitudes OAuth y uso de agentes Copilot.
– **Implementar políticas de Conditional Access**: Limitar el acceso a recursos sensibles según el contexto (ubicación, dispositivo, etc.).
– **Uso de herramientas de gobierno de identidades**: Aplicar soluciones que refuercen la gestión de privilegios y revisiones periódicas de acceso.

### Opinión de Expertos

Especialistas en seguridad de identidades, como Alex Simons (Microsoft Identity Division), han advertido que el abuso de flujos legítimos de consentimiento OAuth representa uno de los mayores desafíos actuales en la defensa de entornos cloud. Firmas como Mandiant y CrowdStrike subrayan que las plataformas low-code/no-code, como Copilot Studio, amplifican la “superficie de ataque interna”, obligando a las organizaciones a revisar sus modelos de gobierno y control de acceso.

### Implicaciones para Empresas y Usuarios

Para las empresas, la aparición de CoPhish destaca la necesidad de reforzar la gobernanza de aplicaciones y la visibilidad sobre los agentes automatizados desplegados en el entorno Microsoft 365. La falta de controles adecuados puede suponer brechas regulatorias graves bajo GDPR y la nueva directiva NIS2, con sanciones millonarias asociadas a la filtración de datos personales o el compromiso de sistemas críticos.

A nivel de usuario, incluso empleados formados pueden verse engañados por la apariencia legítima del flujo de consentimiento, subrayando la importancia de combinar formación continua con soluciones técnicas proactivas.

### Conclusiones

CoPhish representa una evolución alarmante en el arsenal de técnicas de phishing dirigidas contra entornos corporativos cloud. El abuso de agentes Copilot y flujos OAuth legítimos pone de manifiesto la urgencia de adoptar un enfoque Zero Trust, reforzar la monitorización de identidades y concienciar a los usuarios sobre los nuevos vectores de ataque. Solo mediante una combinación de tecnologías avanzadas y buenas prácticas de gobierno es posible mitigar los riesgos crecientes asociados a este tipo de amenazas.

(Fuente: www.bleepingcomputer.com)