Más “astuta de lo habitual”, así calificó Microsoft la campaña de phishing que circula en torno a Office 365 con la intención de robar nombres de usuario y contraseñas.
La campaña de phishing en curso utiliza varios enlaces, y tras hacer clic en ellos se genera una redirección que conduce a las víctimas a una página de Google recaptcha, y posteriormente a una página de inicio de sesión falsa para robar las credenciales de Office 365.
Este ataque en particular, se basa en una herramienta de marketing y ventas por correo electrónico basada en el “redireccionamiento abierto”, una estrategia utilizada ya anteriormente para llevar a quien intenta visitar un destino confiable a otro malicioso.
“Una campaña de phishing activa utiliza una combinación ingeniosa de direcciones de correo electrónico con remitentes de apariencia legítima, direcciones de remitentes de visualización con nombres de usuario y dominios de destino falsificados, y nombres de visualización que imitan los servicios legítimos para intentar pasar por los filtros de correo electrónico”, de acuerdo con Microsoft Security.
El truco de este ataque se basa en el consejo para que los usuarios pasen el cursor sobre un enlace en un correo electrónico para verificar el destino antes de hacer clic.
La palabra de Google sobre el tema de las redirecciones abiertas es que no es una vulnerabilidad de seguridad, aunque admite que puede usarse para desencadenar otras. Sin embargo, Google cuestiona la idea de que, pasar el cursor sobre un enlace en una aplicación para ver una URL de destino, sea un consejo recomendable para que alguien se dé cuenta de la suplantación de identidad (phishing).
“Una vez que los destinatarios colocan el cursor sobre el vínculo o el botón del correo electrónico, se les muestra la URL completa. Sin embargo, dado que los actores configuran vínculos de redireccionamiento abiertos mediante un servicio legítimo, los usuarios ven un nombre de dominio legítimo que probablemente esté asociado con una empresa que ellos conocen y en la que confían. Creemos que los atacantes abusan de esta plataforma abierta y confiable para intentar evadir la detección mientras redirigen a las víctimas potenciales a sitios de phishing “, advierte Microsoft.
Microsoft encontró más de 350 dominios de phishing únicos utilizados en esta campaña, incluidos dominios de correo electrónico gratuitos, dominios comprometidos y dominios creados automáticamente por el algoritmo de generación de dominios del atacante.
Los encabezados del asunto del correo electrónico se adaptaron a la herramienta que el atacante estaba suplantando, como una alerta de calendario para una reunión de Zoom, una notificación de correo no deseado de Office 365 o un aviso sobre la política de caducidad de contraseñas ampliamente utilizada pero desaconsejada.
Microsoft emitió una alerta después de observar una campaña activa dirigida a organizaciones de Office 365 con correos electrónicos convincentes y varias técnicas para evitar la detección de phishing, incluida una página de phishing de Office 365, alojamiento de aplicaciones web en la nube de Google y un sitio de SharePoint comprometido que insta a las víctimas a escribir su usuario y contraseña.
Si bien las redirecciones abiertas no son nuevas, Microsoft saltó sobre el tema después de notar una campaña de phishing en agosto que se basaba en URL falsas de Microsoft.
La verificación de Google recaptcha se suma a la aparente legitimidad del sitio, ya que generalmente los sitios web lo utilizan para confirmar que el usuario no es un Bot. Sin embargo, en este caso, el usuario es redirigido a una página de inicio que parece de Microsoft, y finalmente conduce a una página legítima de Sophos, que proporciona un servicio para detectar este estilo de ataque de phishing.
“Si el usuario ingresa su contraseña, la página se actualiza y muestra un mensaje de error que indica que se agotó el tiempo de espera de la página o que la contraseña era incorrecta y que debe ingresar su contraseña nuevamente. Esto probablemente se hace para que el usuario ingrese su contraseña dos veces, permitiendo a los atacantes asegurarse de obtener la contraseña correcta.
“Una vez que el usuario ingresa su contraseña por segunda vez, la página dirige a un sitio web legítimo de Sophos que afirma que el mensaje de correo electrónico ha sido enviado. Esto agrega otra capa de falsa legitimidad a la campaña de phishing”, dice Microsoft.
El phishing es un componente clave de los ataques para comprometer el correo electrónico empresarial, cibercrimen que costó a los estadounidenses más de 4,200 millones de dólares el año pasado, según las últimas cifras del FBI. El delito es más costoso que los ataques de ransomware de alto perfil.
Fuente: Liam Tung (ZDNet)