Office 365 "pirata" por 365 dólares: el servicio de phishing RaccoonO365 afectó a usuarios en 94 países
RaccoonO365, responsable de ataques a correos corporativos, provocó un arresto en Nigeria.
En Nigeria detuvieron a una persona a la que consideran uno de los desarrolladores del kit de phishing RaccoonO365 —un servicio por suscripción mediante el cual los atacantes creaban masivamente páginas de inicio de sesión falsas de Microsoft y obtenían de las víctimas nombres de usuario y contraseñas. La policía actuó tras informaciones de Microsoft, el FBI y el Servicio Secreto de Estados Unidos, y al final arrestó a tres personas.
Según la policía, a la operación RaccoonO365 en sí está directamente vinculado solo uno de los detenidos — Okitipi Samuel. Lo señalan como el desarrollador principal de la infraestructura de phishing de RaccoonO365. Según un portavoz policial, Samuel dirigía un canal de Telegram por el que se vendían enlaces de phishing a cambio de criptomonedas, y también alojaba portales de inicio de sesión falsos en Cloudflare, usando credenciales de correo electrónico robadas o obtenidas por fraude. Durante los registros, los agentes incautaron ordenadores portátiles, dispositivos móviles y otra tecnología digital relacionada con el esquema.
RaccoonO365 se presentaba como "phishing por suscripción": los cibercriminales pagaban alrededor de $365 al mes y recibían herramientas que, bajo la marca de Microsoft, permitían enviar campañas masivas, crear correos falsos, adjuntos y sitios web, atrayendo a las víctimas hacia páginas de inicio de sesión falsas de Microsoft Office 365. El servicio se utilizó para ataques de phishing contra organizaciones corporativas, financieras y educativas, y los creadores del kit incluso prometían métodos para eludir la autenticación multifactor, no solo para robar la contraseña sino también para mantenerse en el sistema de la víctima durante largo tiempo.
La cadena típica era así: llegaba un correo con un adjunto que contenía un enlace o un código QR. La víctima accedía a una página con CAPTCHA y, tras superarlo, llegaba a una página de inicio de sesión falsa de Microsoft O365 — allí se producían los robos de credenciales. La policía nigeriana afirma que esas campañas abrían el camino al compromiso de la correspondencia empresarial, a fugas de datos y a pérdidas financieras.
Ya en septiembre Microsoft obtuvo una orden judicial que permitió incautar 338 sitios vinculados a RaccoonO365. Ese mismo día Cloudflare informó que había desactivado cientos de dominios y cuentas que usaba ese grupo, y en las campañas detectadas por Cloudflare los estafadores suplantaban no solo a Microsoft, sino también a marcas como Adobe, Maersk y DocuSign. Según los datos de la Unidad de Delitos Digitales de Microsoft, los kits RaccoonO365 se utilizaron para el robo de al menos 5.000 cuentas de Microsoft en 94 países.
Microsoft además había identificado previamente al nigeriano Joshua Ogundepe como el principal impulsor de RaccoonO365: supuestamente escribió gran parte del código y delegó algunas funciones a colaboradores —desde el desarrollo y las ventas hasta el soporte a los "clientes" entre los cibercriminales.
Microsoft envió a las autoridades penales internacionales material para procesar a Ogundepe, pero se desconoce su paradero. La compañía también afirmó que los participantes del esquema ganaron al menos $100,000, y en el canal de Telegram mediante el cual se promovía el servicio había alrededor de 850 personas.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla