Home Ciberguerra Campaña de phishing, compromete a ejecutivos de más de 150 empresas

Campaña de phishing, compromete a ejecutivos de más de 150 empresas

En los últimos meses, múltiples grupos de atacantes, comprometieron, con éxito, las cuentas de correo electrónico corporativas de al menos 156 funcionarios de alto rango de varias empresas con sede en Alemania, el Reino Unido, los Países Bajos, Hong Kong y Singapur.

Apodada “PerSwaysion”, la recién descubierta campaña de ciberataques aprovechó los servicios de intercambio de archivos de Microsoft -incluidos Sway, SharePoint y OneNote- para lanzar ataques de phishing altamente selectivos.

Según un informe que el equipo de Threat Intelligence de Group-IB ha publicado hoy y compartido con The Hacker News, las operaciones de PerSwaysion atacaron a ejecutivos de más de 150 empresas de todo el mundo, principalmente con empresas de los sectores financiero, jurídico e inmobiliario.

“Entre estas víctimas oficiales de alto rango, aparecieron más de 20 cuentas de Office365 de ejecutivos, presidentes y directores generales”.
Hasta ahora exitosas y aún en curso, la mayoría de las operaciones de PerSwaysion fueron orquestadas por estafadores de Nigeria y Sudáfrica que utilizaron un kit de phishing basado en el marco de JavaScript Vue.js, evidentemente desarrollado por y alquilado a delincuentes que hablan vietnamita.

“A finales de septiembre de 2019, la campaña de PerSwaysion ha adoptado pilas de tecnología muy maduras, utilizando Google appspot para los servidores de aplicaciones web de phishing y Cloudflare para los servidores de respaldo de datos”.

“Los atacantes eligen servicios legítimos de intercambio de contenidos basados en la nube, como Microsoft Sway, Microsoft SharePoint y OneNote para evitar la detección de tráfico”, dijeron los investigadores.

Group-IB explicó que todo el plan de PerSwaysion podría reducirse a un simple proceso de tres pasos:

-Las víctimas reciben un correo electrónico que contiene un archivo PDF limpio como un archivo adjunto de correo electrónico. Si las víctimas abren el archivo, se les pedirá que hagan clic en un enlace para ver el contenido real.
-El enlace redirigiría a los usuarios a una página de Microsoft Sway (servicio de boletines informativos), donde un archivo similar pediría a la víctima que hiciera clic en otro enlace.
-Este último enlace redirige al ejecutivo a una página que imita la página de inicio de sesión de Microsoft Outlook, donde los defraudadores recogerían las credenciales de la víctima.

Los operadores de PerSwaysion actuaron rápido desde el momento en que se produjo el phish y normalmente accedieron a las cuentas de correo electrónico pirateadas, en un día.

Con información de: ZDNet.