Una nueva campaña de phishing dirigida a los usuarios de Office 365 intenta burlar las protecciones de seguridad del correo electrónico combinando trozos de código HTML entregados a través de un código JavaScript alojado públicamente.
El asunto del correo electrónico de phishing dice “revisión de precios” y no contiene ningún cuerpo – sólo un archivo adjunto (hercus-Investment 547183-xlsx.Html) que, a primera vista, parece un documento de Excel, pero en realidad es un documento HTML que contiene texto codificado que apunta a dos URLs localizadas yourjavascript.com, un servicio gratuito para alojar JavaScript, y un trozo separado de código HTML.
El primer archivo JavaScript contiene el código HTML que abre la etiqueta HTML y valida la entrada del correo electrónico y la contraseña de la víctima, el segundo contiene la parte del cuerpo del código HTML y el código que activa un cuadro de mensaje emergente.
Estos trozos de código HTML se combinan con un quinto que estaba presente en el archivo adjunto HTML, y abren un navegador que apunta a la página de phishing:
El código contendrá la dirección de correo electrónico del objetivo y rellenará el cuadro de inicio de sesión falso para que la página de phishing parezca legítima. La página de phishing también valida el formato de la dirección de correo electrónico y la longitud de la contraseña, explicó el investigador de Trustwave SpiderLabs Homer Pacag.
Una vez que la víctima envía las credenciales de inicio de sesión, éstas quedan efectivamente comprometidas, y se le muestra una página web en la que se dice que la información de su cuenta o contraseña es incorrecta y se le insta a que intente iniciar sesión de nuevo.
Ni que decir tiene que siempre hay que tener cuidado al evaluar los correos electrónicos no solicitados y no descargar y abrir indiscriminadamente los archivos adjuntos (o enlaces) que se encuentran en ellos.
También hay que fijarse siempre en la URL de cualquier página de inicio de sesión que se les presente y comprobar si es la misma que suelen ver cuando acceden a un servicio en línea.
Además de recordar las contraseñas, los gestores de contraseñas también son buenos para detectar las páginas de phishing y se negarán a introducir sin problemas las credenciales de inicio de sesión que supuestamente son necesarias.