Home Sociedad Descubren una campaña de phishing dirigida a Microsoft Office 365

Descubren una campaña de phishing dirigida a Microsoft Office 365

Investigadores han descubierto una nueva y sofisticada campaña de phishing que utiliza marcas reconocidas para eludir los filtros de seguridad, así como para engañar a las víctimas, y lograr que renuncien a las credenciales de Microsoft Office 365 para obtener acceso a las redes corporativas.

Un nuevo informe de Check Point Software observó por primera vez los ataques -la mayoría de ellos dirigidos a empresas europeas, y otros vistos en Asia y Oriente Medio- en abril, cuando descubrieron correos electrónicos enviados a las víctimas con el título “Office 365 Voice Mail”.

Los correos electrónicos trataban de atraer a las víctimas para que hicieran clic en un botón que les llevara a su cuenta de Office 365 para recuperar un mensaje de voz que estaba esperando en su portal de voz, dijeron. Si las víctimas mordían el anzuelo, eran redirigidas a lo que parecía ser la página de inicio de sesión de Office 365 pero que en realidad era una página de phishing, dijeron los investigadores.

Al principio, los ataques parecían ser “la clásica campaña de phishing de Office 365”, dijo el gerente de inteligencia de amenazas de Check Point, Lotem Finkelsteen, en el informe. Sin embargo, cuando los investigadores miraron bajo el capó, encontraron más bien una “estrategia de obra maestra” que aprovecha “marcas conocidas y de buena reputación para evadir los productos de seguridad en el camino hacia las víctimas”, dijo.

“Hoy en día, esta es una técnica de punta para establecer un punto de apoyo dentro de una red corporativa”, dijo Finkelsteen. “El acceso al correo corporativo puede permitir a los hackers un acceso ilimitado a las operaciones de una empresa, como transacciones, informes financieros, envío de correos electrónicos dentro de la empresa desde una fuente fiable, contraseñas e incluso direcciones de los activos de la empresa en la nube”.

Sin embargo, no es una simple hazaña para llevar a cabo este tipo de ataque. El nivel de sofisticación requirió que aquellos detrás de la campaña obtuvieran acceso a los servidores de Samsung y de la Universidad de Oxford sin ser notados, lo que a su vez requiere una profunda comprensión de cómo funcionan, añadió.

En la campaña, los investigadores observaron a los delincuentes utilizando un dominio Samsung alojado en un servidor de Adobe que quedó sin usar desde el evento Cyber Monday de 2018 en una técnica llamada “redireccionamientos abiertos”, permitiéndose “la fachada de un dominio Samsung legítimo para engañar con éxito a las víctimas”, dijeron los investigadores.

El método es básicamente un URL en un sitio web que puede ser usado por cualquiera para redirigir a los usuarios a otro sitio, agregando legitimidad a los URLs usados en los correos electrónicos maliciosos. En este caso, los enlaces del correo electrónico se redirigen al servidor de Adobe utilizado anteriormente, haciendo que el enlace utilizado en el correo electrónico de phishing “forme parte de la raíz del dominio de confianza de Samsung, uno que redirige sin saberlo a las víctimas a un sitio web alojado por los piratas informáticos”, dijeron los investigadores en el informe.

“Al utilizar el formato de enlace específico de la Campaña de Adobe y el dominio legítimo, los atacantes aumentaron las posibilidades de que el correo electrónico eludiera las soluciones de seguridad basadas en la reputación, las listas negras y los patrones de URL”, escribieron.

Con información de: Parada Visual.