in Microsoft

Cómo los ataques de compromiso de correo electrónico empresarial emulan servicios web legítimos para atraer clics

999 Views

Los nuevos ataques cibernéticos de BEC utilizan el phishing con un enlace legítimo de Dropbox como señuelo para el malware y el robo de credenciales.

Esta ilustración muestra un candado abierto sobre una persona en un teclado.
Imagen: AdobeStock.

Los actores de amenazas han agregado una nueva faceta a los ataques cibernéticos de compromiso de correo electrónico comercial tradicional. Llámelo BEC 3.0: ataques de phishing que entierran el anzuelo en servicios web legítimos como Dropbox.

Avanan, una unidad de Check Point Software, ha rastreado un ejemplo reciente de esta familia de ataques, en el que los piratas informáticos crearon cuentas gratuitas de Dropbox para obtener credenciales u ocultar malware en documentos de apariencia legítima y contextualmente relevantes, como los currículums de los empleados potenciales.

El ataque, descubrió la empresa de seguridad, comenzó cuando los actores compartieron un PDF del currículum de alguien a través de Dropbox. El objetivo no puede ver el documento a menos que agregue a Dropbox. El enlace de Dropbox parecía legítimo, lo que dificultaba la detección del exploit.

El exploit de phishing implica estos pasos:

  • Primero, un usuario hace clic en el enlace de una notificación legítima de Dropbox a un currículum y accede a una página alojada en el servicio de intercambio de archivos.
  • Luego, el usuario debe ingresar su cuenta de correo electrónico y contraseña para ver el documento. Esto significa que los actores de amenazas tienen acceso a direcciones de correo electrónico y contraseñas.

En esta página alojada en Dropbox, se solicita a los usuarios que ingresen su cuenta de correo electrónico y contraseña para ver el documento, lo que les otorga a los actores de amenazas las credenciales de usuario.

Una vez que un usuario ingresa sus credenciales, se lo dirige a un enlace falso de Microsoft OneDrive. Al hacer clic en el enlace, los usuarios reciben una descarga maliciosa.

“Hemos visto a piratas informáticos realizar muchos ataques BEC”, dijo Jeremy Fuchs, investigador/analista de seguridad cibernética en Avanan, en un comunicado. informe en el ataque “Estos ataques tienen varias variaciones, pero generalmente intentan engañar a un ejecutivo o socio para que un usuario final haga algo que no quiere hacer (como pagar una factura en el lugar equivocado)”, dijo.

VER: Otro ataque de hide-the-malware se enfoca en el DNS (República Tecnológica)

“Aprovechar los sitios web legítimos para alojar contenido malicioso es una forma segura de ingresar a la bandeja de entrada”, dijo. “La mayoría de los servicios de seguridad observarán al remitente, en este caso, Dropbox, y verán que es legítimo y aceptan el mensaje. Eso es porque es legítimo”, agregó.

Avanan dijo que prevenir estos ataques sigilosos requiere una serie de pasos defensivos, incluido el análisis de archivos maliciosos en Dropbox y enlaces en documentos, así como el reemplazo de enlaces en el cuerpo del correo electrónico y en los archivos adjuntos. La clave de la educación contra estos ataques de ingeniería social es el contexto, según Fuchs: “¿Los currículums se envían normalmente a través de Dropbox? De lo contrario, puede ser una razón para ponerse en contacto con el remitente original y verificar dos veces. Si lo son, dé un paso más allá. Cuando inicia sesión en Dropbox, ¿tengo que iniciar sesión nuevamente con mi correo electrónico?”

Avanan dijo que los investigadores se comunicaron con Dropbox el 15 de mayo para informarles sobre este ataque y la investigación.

Linktree también se usa para obtener credenciales

A principios de este mes, Avanan descubrió un truco similar utilizando la página de inicio de referencia de las redes sociales Linktree, que está alojada en sitios como Instagram y TikTok. De manera similar a los ataques de Dropbox, los piratas informáticos crearon páginas legítimas de Linktree para alojar URL maliciosas para recolectar credenciales.

Los atacantes enviaron a los objetivos notificaciones falsificadas de Microsoft OneDrive o SharePoint de que se había compartido un archivo con ellos, indicándoles que abrieran el archivo, según Avanan. En última instancia, se redirige al usuario a una página de inicio de sesión falsa de Office 365, donde se le pide que ingrese sus credenciales, donde se las roban.

“[Users] debería pensar: ¿Por qué esta persona me enviaría un documento a través de Linktree? Lo más probable es que ese no sea el caso. Todo eso es parte de la conciencia de seguridad: comprender si un correo electrónico o un proceso parece lógico”, dijo Fuchs.

En estos casos, la firma sugiere que los destinatarios:

  • Compruebe siempre la dirección del remitente antes de responder a un correo electrónico.
  • Deténgase y piense si el medio que se utiliza para entregar un archivo es típico.
  • Al iniciar sesión en una página, verifique dos veces la URL para ver si es Microsoft u otro sitio legítimo.

Los ataques BEC que usan sitios legítimos pueden escalar este año

Fuchs dijo que no hay señales visuales obvias para alertar a los destinatarios del ataque sobre las vulnerabilidades de BEC. “Aunque si tuviera que iniciar sesión en la página de Dropbox, vería que hay un logotipo y un enlace de OneDrive”, dijo. “Los usuarios con ojos de águila deberían notar esa discrepancia y pensar: ¿por qué habría dos servicios en competencia en una página?”, agregó.

Predijo que estos ataques se intensificarán. “Cualquier servicio popular que sea legítimo puede potencialmente usarse como un vehículo para entregar este tipo de actividad maliciosa. Es por eso que esperamos que despegue en un futuro cercano”, dijo, y agregó que el exploit se ha utilizado decenas de miles de veces. “Creemos que esto realmente despegará en volumen en la segunda mitad del año”, dijo.

Fuente

Apple comienza las pruebas beta de macOS Ventura 13.5 a medida que se acerca macOS 14
Lágrimas del Reino Crenel Hills Mapa

Cómo vencer a Stone Talus en Crenel Hill Caves en Tears of the Kingdom (TotK)