Los hackers explotan una función de Microsoft 365 para enviar correos electrónicos de phishing

El equipo forense de Detección y Respuesta de Datos Gestionados de Varonis (MDDR) ha descubierto una sofisticada campaña de phishing que utiliza la función “Direct Send” de Microsoft para suplantar a usuarios internos y enviar correos electrónicos de phishing sin necesidad de comprometer una cuenta.

Según los investigadores de Varonis, esta campaña, que ha estado activa desde mayo de 2025, ha atacado a más de 70 organizaciones—principalmente en Estados Unidos—abusando de una función destinada a ayudar a dispositivos como impresoras a enviar correos electrónicos sin autenticación. Esta función ahora está siendo manipulada por actores de amenazas para enviar correos electrónicos engañosos que parecen provenir de dentro de una organización, todo sin violar una sola cuenta.

“La simplicidad de este ataque es lo que lo hace tan peligroso”, dijo Michael Solomon, quien lideró el análisis forense en Varonis. “No necesitas credenciales, malware, o incluso acceso al entorno objetivo. Todo lo que necesitas es una IP pública y un script básico de PowerShell.”

Cómo Funciona el Ataque

Direct Send es una función en Microsoft Exchange Online que permite a dispositivos y aplicaciones enviar correos electrónicos dentro de un inquilino de Microsoft 365 sin autenticación utilizando un host inteligente (por ejemplo, tenantname.mail.protection.outlook.com). Fue diseñado para uso interno y no requiere credenciales de inicio de sesión.

Esto crea una oportunidad para los atacantes: si pueden identificar el dominio del inquilino y adivinar una dirección de correo electrónico válida (un formato común como [email protected]), pueden enviar correos electrónicos suplantados que parecen originarse desde dentro de la organización, sin necesidad de iniciar sesión o tocar el inquilino.

Dado que estos mensajes suplantados son enrutados a través de la infraestructura de Microsoft, a menudo evaden los filtros de correo electrónico que dependen de la autenticación del remitente, la reputación o las señales de enrutamiento externas. Como resultado, los correos electrónicos parecen ser mensajes internos legítimos.

PowerShell Facilita el Proceso

Para lanzar los ataques, los hackers utilizaron scripts simples de PowerShell para enviar correos electrónicos suplantados a través de Direct Send. Estos mensajes imitan alertas internas legítimas, a menudo con asuntos como “ Nuevo mensaje de fax perdido ” o “ El llamador dejó un mensaje de voz.” Los correos electrónicos típicamente contenían archivos adjuntos PDF disfrazados como mensajes de voz. Estos PDFs incluyen códigos QR que redirigen a los usuarios a sitios de recolección de credenciales.

El equipo forense MDDR de Varonis vinculó múltiples instancias basadas en similitudes en las direcciones IP del remitente, el contenido del mensaje y el comportamiento. Un ejemplo del mundo real involucró actividad de correo electrónico originada desde una dirección IP ucraniana sin intentos de inicio de sesión—un patrón inusual que apuntaba al abuso de Direct Send.

Por Qué Estos Correos Evaden la Detección

Varios factores permiten que estos mensajes evadan las herramientas de seguridad tradicionales:

• No se requiere autenticación para enviar a través de Direct Send.
• Los correos electrónicos parecen originarse desde dentro de la organización.
• No pasan las verificaciones de SPF, DKIM y DMARC, pero aún pueden ser entregados.
• El filtrado de Microsoft puede tratar estos como mensajes internos a internos.

Detectar estos ataques implica inspeccionar de cerca los encabezados de los correos electrónicos en busca de señales inusuales, como IPs externas interactuando con el host inteligente y fallos en las verificaciones de autenticación. Otras señales de alerta de comportamiento incluyen correos electrónicos enviados desde sus propias direcciones, mensajes enviados utilizando PowerShell y actividad de correo electrónico originada desde ubicaciones inesperadas o extranjeras.

Medidas de Protección

Para defenderse y protegerse contra esta amenaza, Varonis recomienda que las organizaciones tomen los siguientes pasos:

• Habilitar “Rechazar Direct Send” en el Centro de Administración de Exchange.
• Implementar una política DMARC estricta (por ejemplo, p=reject).
• Marcar o poner en cuarentena mensajes internos no autenticados.
• Hacer cumplir configuraciones de “SPF hardfail” dentro de Exchange Online Protection (EOP).
• Utilizar políticas anti-suplantación.
• Educar a los empleados sobre phishing y ataques basados en códigos QR (también conocidos como “quishing”).
• Monitorear comportamientos inusuales de envío de correos electrónicos como mensajes auto-dirigidos y uso inesperado de IP.
• Hacer cumplir una dirección IP estática en el registro SPF para prevenir abusos de envío no deseados—una práctica recomendada, aunque opcional, de Microsoft.

“Direct Send es una función poderosa, pero en las manos equivocadas, se convierte en un vector de ataque peligroso. Si no estás monitoreando activamente correos electrónicos internos suplantados o no has habilitado estas protecciones, ahora es el momento. No asumas que lo interno significa seguro,” concluyó Varonis.