**Storm-2755** está llevando a cabo ataques de piratería de nómina robando los pagos salariales de empleados canadienses tras obtener acceso no autorizado a sus cuentas. ### Metodología de Ataque AiTM Los atacantes emplean páginas de inicio de sesión maliciosas de **Microsoft 365** para robar los tokens de autenticación y las cookies de sesión de las víctimas. Esto se logra redirigiendo a los usuarios a dominios como `bluegraintours[.]com`, que alojan páginas web maliciosas que se hacen pasar por formularios de inicio de sesión legítimos de **Microsoft 365**. Estas páginas maliciosas a menudo se colocan en la parte superior de los resultados de los motores de búsqueda a través de técnicas de malvertising o envenenamiento SEO. Esta táctica permite a **Storm-2755** eludir la autenticación multifactor (MFA) a través de ataques de adversario en el medio (AiTM). En lugar de reautenticarse, los atacantes reproducen los tokens de sesión robados. >"En lugar de solo cosechar nombres de usuario y contraseñas, los marcos AiTM proxy la totalidad del flujo de autenticación en tiempo real, permitiendo la captura de cookies de sesión y tokens de acceso OAuth emitidos tras una autenticación exitosa", explicó **Microsoft**. >"Debido a que estos tokens representan una sesión completamente autenticada, los actores de amenazas pueden reutilizarlos para obtener acceso a los servicios de Microsoft sin que se les solicite credenciales o MFA, eludiendo efectivamente las protecciones MFA heredadas que no están diseñadas para ser resistentes al phishing."  *Flujo de ataque de Storm-2755 (Microsoft)* ### Tácticas Posteriores al Compromiso de Cuenta Una vez que una cuenta se ve comprometida, los atacantes crean reglas de bandeja de entrada para mover automáticamente los mensajes del personal de recursos humanos que contienen palabras clave como "depósito directo" o "banco" a carpetas ocultas. Esto evita que las víctimas noten la actividad fraudulenta. A continuación, buscan términos como "nómina", "RR. HH.", "depósito directo" y "finanzas" y envían correos electrónicos al personal de recursos humanos con asuntos como "Pregunta sobre depósito directo" para engañarlos y que actualicen la información bancaria. Si la ingeniería social falla, los atacantes inician sesión directamente en plataformas de software de RR. HH. como **Workday**, utilizando la sesión robada para actualizar manualmente los detalles de depósito directo.  *Storm-2755 enviando correos electrónicos al personal de RR. HH. (Microsoft)* ### Estrategias de Mitigación Para defenderse contra ataques AiTM y de piratería de nómina, **Microsoft** recomienda: * Bloquear los protocolos de autenticación heredados. * Implementar MFA resistente al phishing. * Revocar tokens y sesiones comprometidos inmediatamente tras la detección. * Eliminar reglas de bandeja de entrada maliciosas. * Restablecer métodos de MFA y credenciales para todas las cuentas afectadas. ### Ataques de Nómina Anteriores En octubre, **Microsoft** interrumpió una campaña de nómina similar dirigida a cuentas de **Workday** desde marzo de 2025. Esta campaña, llevada a cabo por **Storm-2657**, se dirigió a empleados universitarios en todo Estados Unidos, secuestrando pagos salariales utilizando correos electrónicos de phishing y tácticas AiTM para robar códigos MFA y comprometer cuentas de Exchange Online. Los ataques de piratería de nómina son una forma de estafas de compromiso de correo electrónico empresarial (BEC). El Centro de Denuncias de Delitos por Internet (IC3) del FBI informó más de 24.000 denuncias de fraude BEC el año pasado, lo que resultó en pérdidas superiores a los 3.000 millones de dólares.