Investigadores han descubierto ‘CoPhish’, una técnica de phishing que explota agentes de Microsoft Copilot Studio para robar tokens OAuth vía dominios legítimos de Microsoft. La sofisticación de la amenaza reside en que las víctimas son engañadas con URLs que inspiran confianza, dificultando la detección.
El auge de plataformas automatizadas y asistenciales como Microsoft Copilot Studio ha abierto la puerta a nuevas amenazas poco documentadas. La técnica CoPhish descubierta por Datadog Security Labs revela cómo funcionalidades legítimas pueden ser manipuladas para realizar ataques OAuth phishing extremadamente convincentes, aprovechando la confianza que generan las plataformas oficiales.
CoPhish se basa en el uso malicioso de agentes personalizados de Copilot Studio que pueden presentarse en dominios auténticos de Microsoft. Mediante la función ‘demo website’, los atacantes crean chatbots con temas (‘topics’) manipulados para iniciar flujos de autenticación. El atacante puede enlazar el botón de inicio de sesión del bot a una aplicación fraudulenta, recolectando el token de sesión gracias a una redirección a un recurso controlado (por ejemplo, una URL de Burp Collaborator). Así se roba el access token OAuth del usuario autenticado, sin que este reciba ninguna alerta, ya que todo ocurre bajo el paraguas de la infraestructura Microsoft, incluso usando IPs legítimas.
El principal riesgo radica en el robo de tokens OAuth, que permite a los atacantes acceder a servicios y datos corporativos como si fueran el usuario víctima. Este ataque es especialmente grave cuando afecta a Application Administrators, quienes pueden consentir permisos de aplicaciones internas y externas, abriendo la puerta a movimientos laterales y escaladas de privilegio dentro del entorno. La dificultad para reconocer el engaño se ve aumentada por el uso de URLs legítimas de Microsoft, dificultando la supervisión y respuesta.
Microsoft y Datadog recomiendan reforzar las políticas de consentimiento de aplicaciones, limitar privilegios administrativos y deshabilitar la creación de aplicaciones por defecto para usuarios. Es esencial monitorizar los eventos de consentimiento en Entra ID y en la creación de agentes Copilot Studio. Además, establecer gobernanza estricta y educación para la detección de símbolos inusuales (como iconos no habituales) pueden reducir el riesgo.
La sofisticación de CoPhish pone de manifiesto la necesidad de vigilancia activa sobre las integraciones y permisos en entornos Cloud. La adopción de controles de gobernanza, políticas restrictivas de consentimiento y formación continua son esenciales para mitigar vectores de phishing no convencionales que utilizan infraestructura confiable.
