Envío directo de contenido abusivo
6 de agosto de 2025
- Los ciberdelincuentes están aprovechando activamente la función «Direct Send» de Microsoft 365 para enviar correos electrónicos de phishing
- Esta técnica elude eficazmente las soluciones de seguridad perimetral al redirigir los correos electrónicos maliciosos a través de la infraestructura de confianza de Microsoft 365.
- No requiere credenciales ni tokens, solo conocer el dominio de destino y las direcciones válidas de los destinatarios
- Esto supone una brecha crítica en las defensas de seguridad del correo electrónico, ya que permite eludir los filtros de seguridad externos que analizan el correo entrante procedente de fuentes externas
Descripción general
El equipo de investigación de amenazas de Mimecast sigue detectando campañas de correo electrónico malicioso que se aprovechan de la función «Direct Send» de Microsoft 365. Este vector de ataque permite a los autores de amenazas enviar correos electrónicos que parecen proceder de usuarios internos sin necesidad de autenticación ni de haber comprometido ninguna cuenta. Esta técnica ha ido ganando terreno, ya que elude eficazmente las soluciones de seguridad perimetral y se aprovecha la confianza inherente que los usuarios depositan en las comunicaciones internas. Esta amenaza emergente supone una brecha crítica en las defensas de seguridad del correo electrónico de las organizaciones que utilizan Microsoft 365.
Metodología de ataque
«Direct Send» es una función legítima de Microsoft 365 diseñada para permitir que los dispositivos, las aplicaciones y los servicios de terceros envíen correos electrónicos directamente a los buzones de los usuarios sin necesidad de autenticación. Los atacantes se aprovechan de esta funcionalidad conectándose al punto final SMTP de Microsoft 365 y enviando correos electrónicos que suplantan la identidad de remitentes internos. El proceso del ataque consta de tres pasos clave:
- Los atacantes identifican dominios válidos de las organizaciones y direcciones de correo electrónico de los destinatarios mediante actividades de reconocimiento.
- Los correos electrónicos se redactan de tal forma que simulan proceder de usuarios o departamentos internos de confianza, imitando a menudo comunicaciones empresariales habituales, como notificaciones del departamento de TI o anuncios de RR. HH.
- Estos correos electrónicos falsos se envían directamente a través de la infraestructura de Microsoft 365, donde aparecen como mensajes enrutados internamente.
A diferencia de la suplantación de identidad tradicional en el correo electrónico, el uso indebido de «Direct Send» no requiere credenciales de autenticación, nombre de usuario, contraseña ni token. Los atacantes solo necesitan conocer el dominio de la organización objetivo y las direcciones de destinatarios válidas. Esta técnica resulta especialmente eficaz porque los correos electrónicos pasan por la infraestructura de confianza de Microsoft 365, lo que hace que parezcan legítimos tanto para los sistemas de seguridad como para los usuarios finales. La ausencia de requisitos de autenticación implica que los atacantes pueden suplantar la identidad de cualquier usuario interno sin necesidad de acceder a cuentas legítimas.
Información sobre la campaña
Las organizaciones se enfrentan a un riesgo considerable de robo de credenciales, business email compromise y distribución de malware a través de este vector de ataque. La confianza implícita asociada a las comunicaciones internas aumenta la probabilidad de que los usuarios interactúen con éxito con contenidos maliciosos.
Las campañas recientes han demostrado la eficacia de esta técnica, ya que los autores de las amenazas han logrado obtener credenciales y establecer puntos de acceso para el movimiento lateral dentro de los entornos atacados. El uso indebido de Direct Send ha tenido un éxito especial entre las organizaciones que dependen en gran medida de las comunicaciones por correo electrónico para sus operaciones comerciales.
Aunque los correos electrónicos de abuso enviados directamente no pasan por Mimecast, las campañas observadas recientemente contienen archivos adjuntos en formato PDF y DOCX con códigos QR, o archivos adjuntos HTML muy ofuscados, todos ellos dirigidos a páginas de phishing destinadas a la recopilación de credenciales.
El análisis de los archivos PDF y DOC adjuntos revela que los autores de la amenaza están utilizando herramientas automatizadas para generar señuelos convincentes con temática empresarial, como parte de una campaña de phishing que aprovecha la función «Direct Send» de Microsoft. Los archivos PDF adjuntos se crearon principalmente con wkhtmltopdf 0.12.6 (Qt 4.8.7), una herramienta que se utiliza habitualmente para convertir plantillas HTML en archivos PDF a gran escala, mientras que los archivos DOCX se generaron con Microsoft Office Word 2007, una versión antigua que admite funciones de las que a menudo se abusa en el phishing, como las solicitudes de recuperación de archivos y la compatibilidad con macros. El uso sistemático de estas herramientas, junto con la rápida creación, en el mismo día, de múltiples documentos temáticos, pone de manifiesto un enfoque coordinado y basado en plantillas, diseñado para maximizar la distribución y eludir los controles de seguridad tradicionales.
Análisis de HTML
Un ejemplo interesante de un archivo adjunto en formato HTML muestra un alto grado de ofuscación mediante el uso de homógrafos. A primera vista, el código utiliza una única variable de forma repetida, pero define y manipula más de un centenar de variables, cada una de las cuales lleva un nombre compuesto por tres caracteres UTF-8 (Unicode) visualmente similares. Esta técnica, conocida como «Unicode» u «ofuscación por homógrafos», dificulta enormemente el análisis manual y puede burlar muchas herramientas de detección automatizadas. El script evita cualquier cadena legible o asignación directa. En su lugar, utiliza una serie de peculiaridades de JavaScript y trucos de coerción de tipos —como !1+[] (que da como resultado la cadena « "» false"), []+{} (que produce « " » [object Object]") y "foo"& " bar" (que siempre se evalúa como 0)— para generar números enteros y cadenas básicos. A continuación, estos números enteros se utilizan como índices de matriz o para generar códigos ASCII, que se ensamblan dinámicamente en la carga útil final mediante funciones como String.fromCharCode. El código utiliza document.write() para mostrar el contenido malicioso, lo que lleva al usuario a una página de phishing. Todo ello se lleva a cabo sin que haya ninguna cadena de texto útil en el código estático, lo que dificulta enormemente el análisis estático y la detección basada en firmas.
Se ha observado que otros archivos adjuntos en formato HTML utilizan, en su mayoría, una variante de caracteres UTF-8 para ocultar el contenido del archivo de forma muy elaborada.
Indicadores de compromiso
Direcciones IP de origen iniciales
141.95.71.216
141.95.114.238
139.28.38.90
23.163.0.158
51.89.87.86
Asuntos de los correos electrónicos
Nuevo manual del empleado y novedades organizativas
Reconocimiento de sus contribuciones laborales: actualización sobre la remuneración
Revalidación obligatoria de las credenciales de acceso
Confirmación: bonificación de fin de año de 2025 añadida a su nómina
Acción requerida: Evaluación de los empleados de [nombre de la empresa]
Dominios
Jmvthr[.]owlrd[.]ru
Eiregirc[.]ru
Mettsoll[.]com
djvzk[.]uekmu[.]es
Hash de archivos
cc2f055a242eec9ba870fc3040883439666266a018c833b72bb201592ff0c0e4
19279573e2c3b0e6348bb305e3101531eea978037330636942a0be85dccd62c1
988d3069d1241d2784debeb6946c57a8c66221d7fbfbd6228b2b8b3cc4e92a50
092d0be4a754532ad49e202eeba2a7709dad03f3f58cf72205f38efc668ebabd
975b04bb26d5fe627e195bdf46fc4eec7b25b63d7b4ab926b437a04903ec522f
625561c24491e8b68efa34e14c5a332c63c6121a333f700af4ff6801ebe587c8
b810f7e999d5824147535e3974cf349010f78badaa0428c554bb3e5eec56db2f
5b6aa8f966e240f620ad10417ff4804941966f878cc83020391ad786f5360f43
3f52227acb6f97853b491cdaab53630cb21b3337a972efcb05660cd139df2482
c2394537d5e7b3c1c9afc73408b5c6b1c1154650a4a8454b9f4e534c9ddbd092
ca82e7201694b964e0f6702e08f75f98f0732552aefaed6ae8b170689341bfe2
3432411a3bb498e6688d24dc3824b6469242d42d0b8742116479f35a8c05ab5a
f24785156ec9c045e88eed48b2a262996a12e7bc62f50784bba9334172668275
48171e699562fe854418797cd8b8517b3f5eec598fd89e3d20c5a8f346176bf2
d5800e021a88c6e91f1605b892e8aefe1ba21719022417746a64a4acba13e903
cf74d4c1c3e8317c43aacdcda57cb8da032477e24732d0a7987c8bf5aa9ff186
7c11352b17e325a53e3a73e34459fc55b90ceaf2c3cd4dc4421be879c7147391
b96ee4c2bdf566a5740dc100cf1c70896cd2806fac42d46b022d5c52c3a8a52a
df6bc150a77c36beafbfd0c59daa7a8960bb090743b778477e25805195640c0c
0736b07c27ff2ff21175991c2ffae38d75a66bbb57fe4390afb3347e4d6e691a
Recomendaciones
Medidas de mitigación
- Active la opción «Rechazar envío directo»: si su organización no necesita el envío directo, desactívelo. En el Centro de administración de Exchange, active la opción «Rechazar envío directo». De este modo se evitará el uso no autorizado de la función «Envío directo», al rechazar los correos electrónicos que intenten utilizar este método sin la autenticación adecuada.
- Active los registros DMARC o SPF estrictos
Configurar M365 con Mimecast
- Siga el proceso «Connect» para el bloqueo del correo de Microsoft 365 con el fin de evitar que se acepten remitentes no autorizados.
- Si la organización utiliza Direct Send, siga estos pasos de filtrado y configuración para garantizar que solo se reciba correo autorizado.
Evaluación medioambiental
Antes de activar esta función, las organizaciones deben revisar su entorno para detectar dispositivos o aplicaciones que utilicen el protocolo SMTP sin autenticación para funciones empresariales legítimas. Es posible que los sistemas heredados, las impresoras, los escáneres y las aplicaciones específicas de cada área de negocio requieran actualizaciones de configuración para poder utilizar métodos de envío autenticados.