Home Sociedad Ciberdelincuentes utilizan Azure Front Door en ataques de phishing

Ciberdelincuentes utilizan Azure Front Door en ataques de phishing

Foto: traffic_analyzer

La empresa Resecurity, Inc. (EE.UU.) ha identificado un pico de contenido de phishing entregado a través de Azure Front Door (AFD), un servicio de CDN en la nube proporcionado por Microsoft.  Los recursos identificados en una de las campañas maliciosas suplantaban varios servicios que parecían creados legítimamente en el dominio “azurefd.net”. Esto permite a los malos actores engañar a los usuarios y difundir contenidos de phishing para interceptar credenciales de aplicaciones empresariales y cuentas de correo electrónico.

En particular, la mayoría de los recursos de phishing, fue diseñada para dirigirse a los clientes de SendGrid, Docusign y Amazon, junto con otros importantes proveedores de servicios en línea y corporaciones japonesas y de Oriente Medio. Según los expertos, estas tácticas confirman cómo los malos actores buscan continuamente mejorar sus tácticas y procedimientos para evitar la detección del phishing utilizando servicios en la nube mundialmente conocidos.

Según las plantillas de phishing analizadas, es probable que los atacantes utilicen un método automatizado para generar sus cartas de phishing, con lo que pueden ampliar sus campañas para dirigirse a un mayor número de clientes en todo el mundo.

Los investigadores de ciberseguridad de Resecurity identificaron múltiples dominios utilizados en la nueva ola de ataques de phishing que se remontan a principios de junio, algunos de los cuales son obviamente difíciles de diferenciar de la correspondencia legítima debido a su denominación y a la referencia a Azure Front Door, lo que sólo añade más complejidad para los defensores:

gridapisignout[.]azurefd[.]net

amazon-uk[.]azurefd[.]net

webmailsign[.]azurefd[.]net

onlinesigninlogin[.]azurefd[.]net

owasapisloh[.]azurefd[.]net

docuslgn-micros0ft983-0873878383[.]azurefd.net

Algunas instancias de esta campaña comenzaron alrededor del mes de marzo de 2022 y se centraron principalmente en Japón y se alojaron en recursos VPS de Kagoya. Los escenarios que actuaban como scripts para la recolección de credenciales interceptadas también estaban alojados en varios recursos WEB hackeados, aprovechando dominios que tenían una ortografía similar a los nombres de las empresas existentes. Dichos dominios se utilizaron para suplantar a varias grandes empresas de Oriente Medio y otros países, lo que puede confirmar que la campaña podría haber sido dirigida y tener ciertos motivos además de los financieros.

En uno de los episodios de phishing, los actores de la amenaza se hicieron pasar por el gran conglomerado empresarial Al-Futtaim Group de los EAU, fundado en 1930 y con más de 44.000 empleados. El host fue creado en marzo de 2022 y se utilizó para recopilar credenciales interceptadas aprovechando la ortografía con sólo una letra diferente del nombre legítimo y oficial del dominio del Grupo Al-Futtaim (“alfuttairn[.]com” VS “alfuttaim[.]com”).

Los nombres de dominio maliciosos identificados y la información adicional han sido reportados por Resecurity al Centro de Respuesta de Seguridad de Microsoft (MSRC) para minimizar los posibles riesgos y daños de esta actividad. Todos los recursos maliciosos identificados han sido terminados con éxito y a tiempo.