Campaña de phishing utiliza Sharepoint y One Note para buscar contraseñas

ActualidadPhishing

El siguientes es un correo electrónico de phishing que recibimos recientemente que muestra todos los trucos que tienen los ciberdelincuentes para engañarnos para que hagamos clic en sus enlaces.

Desde BEC, a través del almacenamiento en la nube, vía un documento de One Note que parece inocente, y directo al peligro.

En lugar de, simplemente enviar spam con un enlace en el que se puede hacer clic a la mayor cantidad de personas posible, los ciberdelincuentes utilizaron técnicas más laberínticas, presumiblemente con la esperanza de evitar ser un “correo electrónico inesperado que va directamente a una página de inicio de sesión poco probable”.

Irónicamente, mientras que los sitios web convencionales se concentran en lo que llaman ausencia de fricciones, con el objetivo de llevarte de A o B con los mínimos clics posibles, algunos ciberdelincuentes agregan deliberadamente complejidad adicional a sus campañas de phishing.

La idea es requerir algunos pasos adicionales, que te llevarán a un viaje más indirecto antes de llegar a un sitio web que exige tu contraseña, para que no saltes directa y sospechosamente de un enlace de correo electrónico a una página de inicio de sesión.

A continuación mostramos cómo funciona este tipo de phishing.

Fases del ataque

Primero, recibimos un correo electrónico de apariencia inocente:

Este en realidad vino de donde decía: el propietario de una empresa de ingeniería perfectamente legítima en el Reino Unido, cuya cuenta de correo electrónico evidentemente había sido pirateada.

No conocíamos al remitente personalmente, pero suponemos que era un lector de Naked Security y había mantenido correspondencia con nosotros en el pasado, por lo que aparecíamos en su libreta de direcciones junto con cientos de otras personas.

Suponemos que muchos de los destinatarios se comunicaban con el remitente con regularidad y no solo estarían dispuestos a confiar en sus mensajes, sino también a esperar archivos adjuntos relacionados con negocios y proyectos que habían estado discutiendo.

Tomar el control de la cuenta de correo electrónico de otra persona con fines delictivos a menudo se conoce como BEC, abreviatura de business email compromise (correo electrónico comercial comprometido), y a menudo se asocia con el llamado fraude de CEO o CFO.

Eso es donde los ciberdelincuentes se dirigen deliberadamente a la cuenta del director ejecutivo o del director financiero para que puedan emitir instrucciones de pago falsas, aparentemente del nivel más alto.

En este caso, sin embargo, los ciberdelincuentes se habían propuesto claramente utilizar una cuenta comprometida como punto de partida para comprometer tantas más como pudieran.

Suponemos que los ciberdelincuentes tenían la intención de utilizar las nuevas contraseñas para una nueva ola de delitos BEC propios o de vender las contraseñas para que otros ciberdelincuentes las explotaran.

Abrir el archivo adjunto lleva a un mensaje secundario que parece lo suficientemente legítimo a primera vista, especialmente para los destinatarios que se comunican regularmente con el remitente:

El enlace de Sharepoint en el que se espera que haga clic para acceder al archivo de One Note parece sospechoso porque no hay una conexión clara entre la empresa del remitente y la ubicación del señuelo de One Note.

Pero el negocio del remitente se relaciona con la construcción, y el nombre de dominio en el enlace de Sharepoint aparentemente se refiere a una empresa constructora, por lo que el enlace es plausible, al menos.

El archivo de One Note en sí es muy simple:

Es solo en esta etapa que los ciberdelincuentes presentan su enlace de llamada a la acción, el clic que no querían poner directamente en el correo electrónico original, donde se habría destacado más obviamente como una estafa de phishing.

Se les perdonará por asumir que el botón “Revisar documento” aquí simplemente abre o salta a una parte del archivo de One Note que ya está abierto  pero, por supuesto, no hay un archivo PDF de Nuevo Proyecto, y el “enlace” que aparentemente está ahí para que revises el documento lleva a la página de inicio de sesión falsa que los criminales quieren que accedas.

La página de inicio de sesión falsa está oculta (o estaba: el sitio está ahora offline) en un sitio de WordPress pirateado que pertenece a una empresa de eventos.

Afortunadamente, los ladrones se delataron doblemente en este punto.

Primero, se equivocaron en el nombre de la empresa del remitente en esta parte de la estafa (ese es el texto redactado justo antes de la palabra “Ltd”, que es la abreviatura del Reino Unido para una empresa de responsabilidad limitada).

El nombre de la empresa del remitente termina en la palabra Structural (estructural), dado que está en el negocio de la construcción, pero los ciberdelincuentes cometieron un error y escribieron la palabra Surgical (quirúrgico), una pequeña pero obvia señal de alerta para cualquiera que haga negocios con el remitente.

En segundo lugar, la empresa de eventos pirateados donde los delincuentes escondieron sus páginas de phishing tiene su sede en Kiev, Ucrania, y tiene un nombre de dominio que no está relacionado con la industria de la construcción ni está ubicada en el Reino Unido, de donde proviene el correo electrónico original

Si haces clic, a pesar del enlace inesperado y el nombre de dominio poco probable, finalmente llegarás a un formulario de inicio de sesión, tres pasos después del correo electrónico original, completo con imágenes animadas que sugieren Office 365:

El inicio de sesión es aparentemente necesario para acceder a lo que se supone que es un archivo de Excel.

Sin embargo, el inexplicable cambio a Excel de la página anterior, donde se prometió un archivo PDF, y que los ciberdelincuentes han escrito Microsoft, Excel y Small Business incorrectamente, deberían alertarte sobre la estafa.

También deberías sospechar de una página de inicio de sesión de Microsoft que ofrece tantas opciones de autenticación alternativas.

Eso es algo que hacen los sitios web más pequeños para capitalizar el hecho de que probablemente ya tenga cuentas con los grandes actores, pero no esperarías que Microsoft use a ninguno de sus competidores como servicio de autenticación.

Por supuesto, si introduces una contraseña, irá directamente a los ciberdelincuentes, quienes luego mostrarán un mensaje de error falso, tal vez con la esperanza de que puedas probar con otra cuenta y darles una segunda contraseña.

¿Qué hacer?

  • No hagas clic en los enlaces de inicio de sesión a los que accede desde un correo electrónico. Esa es una extensión de nuestro consejo habitual de nunca hacer clic en los enlaces de inicio de sesión que aparecen directamente en los correos electrónicos. No permitas que los ciberdelincuentes te distraigan alejándote primero de tu cliente de correo electrónico para que su página de phishing se sienta más creíble cuando llegues. Si comenzaste en un correo electrónico, detente si encuentras una solicitud de contraseña. Encuentra tu propio camino al sitio o servicio que se supone que debes usar.
  • Busca señales obvias. Como hemos dicho muchas veces antes, lo único peor que ser estafado es ser estafado y luego darse cuenta de que las señales estuvieron ahí todo el tiempo. Los ladrones no siempre cometen errores obvios, pero si los cometen, asegúrate de encontrarlos.
  • Si crese que introdujiste una contraseña donde no deberías, cámbiala lo antes posible. Encuentra tu propio camino al sitio oficial del servicio en cuestión e inicia sesión directamente. Cuanto antes corrijas tu error, menos posibilidades tendrán los ladrones de llegar primero.
  • Utiliza 2FA siempre que puedas. Las cuentas que están protegidas por autenticación de dos factores son más difíciles de atacar para los delincuentes. Deben engañarte para que reveles tu código 2FA en el mismo momento en que te están haciendo phishing.
  • Considera los simuladores de phishing como Sophos Phish Threat. Si formas parte del equipo de seguridad de TI, Phish Threat te ofrece una forma segura de exponer a tu personal a ataques similares a los de suplantación de identidad, para que puedan aprender tus lecciones cuando estás tú en el otro extremo, no los ciberdelincuentes.

 

 

Leave a Reply

Your email address will not be published.