Los atacantes están utilizando un señuelo de uso frecuente y aún efectivo para robar credenciales de aplicaciones clave de Microsoft mediante el envío de correos electrónicos que notifican a las víctimas potenciales que tienen un mensaje de correo de voz, según los investigadores.
Un equipo de Zscaler ThreatLabZ ha estado monitoreando una campaña desde mayo que se dirige a industrias verticales clave en los Estados Unidos con "correos electrónicos maliciosos con temas de notificación de correo de voz en un intento de robar sus credenciales de Office365 y Outlook", dijeron los investigadores en una publicación de blog publicada recientemente. Tanto los correos electrónicos como la página de robo de credenciales parecen provenir de entidades legítimas, tácticas que apuntan a engañar a las víctimas para que caigan en la estratagema, dijeron.
De hecho, Zscaler en sí fue una de las organizaciones objetivo de la campaña, que según los investigadores es similar a una que ThreatLabZ descubrió en julio de 2020. Esto le dio a ThreatLabZ una visión particular de cómo funciona la campaña.
Otras víctimas de la última campaña incluyen organizaciones en verticales específicas de Estados Unidos, incluida la seguridad del software, el ejército, los proveedores de soluciones de seguridad, la atención médica y farmacéutica, y la cadena de suministro de fabricación, dijeron los investigadores.
Si bien las tácticas en la campaña están lejos de ser novedosas, los actores de amenazas parecen estar adoptando un enfoque de "si no está roto, no lo arregles" para robar credenciales como una forma de acceder a las redes corporativas, señaló un profesional de seguridad.
La triste realidad es que todavía funcionan, y mientras ese sea el caso, los atacantes seguirán aprovechándolos, dijo Erich Kron, defensor de la conciencia de seguridad de la firma de seguridad KnowBe4, en un correo electrónico a Threatpost.
" Si bien no es un enfoque nuevo, el uso de notificaciones de correo de voz sigue siendo muy efectivo, ya que tienden a mezclarse con los tipos de notificaciones que forman parte de nuestro trabajo diario", observó.
Cómo funciona el ataque
Sin embargo, un aspecto de la campaña que lo distingue de otros ataques temáticos similares es que implica "más investigación y esfuerzo, ya que los ataques se personalizan para cada objetivo", dijo.
Los atacantes tienen como objetivo atraer a las víctimas con un correo electrónico que les informa que tienen un nuevo correo de voz en un mensaje que parece provenir de la organización objetivo, según ThreatLabZ. Utilizan una dirección en el campo "De" que imita el nombre de la organización objetivo, así como la marca del logotipo en el propio correo para parecer legítimo.
Los mensajes incluyen un archivo adjunto HTML que, si se abre, redirige al usuario a un sitio de phishing de credenciales que también parece ser el verdadero negocio al imitar la propia página de inicio de sesión de Microsoft.
Además, los atacantes utilizan un formato consistente para las URL utilizadas en el proceso de redireccionamiento "que incluía el nombre de la organización objetivo, así como la dirección de correo electrónico del individuo objetivo", observaron los investigadores.
"Por ejemplo, cuando un individuo en Zscaler fue atacado, la URL usó el siguiente formato: zscaler.zscaler.briccorp[.] com/<base64_encoded_email>", escribieron en la publicación.
El sitio de phishing de credenciales incluso utiliza la técnica reCAPTCHA de Google, que requiere que los objetivos demuestren que "no son un robot" identificando objetos en fotos, para dar más credibilidad a la experiencia. Esta táctica utilizada anteriormente también ayuda a los atacantes a "evadir las herramientas automatizadas de análisis de URL", una táctica también utilizada en la campaña de julio de 2020, según ThreatLabZ.
Si una víctima sigue adelante con el CAPTCHA, él o ella es redirigido a la página de inicio de sesión de Microsoft Office 365 de aspecto legítimo para ingresar credenciales en un sitio controlado por atacantes, según la publicación. El análisis realizado por ThreatLabZ sobre los encabezados de correo electrónico utilizados en la campaña muestra que los actores de amenazas utilizaron servidores de correo electrónico ubicados en Japón para organizar ataques, dijeron los investigadores.
Evitar el robo de credenciales
A medida que la campaña permanece activa, tanto ThreatLabZ como Kron de KnowBe4 recomiendan que las organizaciones reiteren las prácticas de correo electrónico seguro con sus empleados para asegurarse de que no están entregando sus credenciales a los atacantes.
Como precaución adicional, los usuarios no deben abrir archivos adjuntos en correos electrónicos enviados desde fuentes desconocidas o no confiables, anotaron los investigadores. Además, como mejor práctica, en general, los usuarios deben verificar la URL en la barra de direcciones del navegador antes de ingresar cualquier credencial, dijeron.
De hecho, las organizaciones deben capacitar a los empleados sobre cómo detectar y reportar ataques de phishing, así como sobre cómo verificar la barra de URL del navegador para garantizar que el sitio web donde ingresan las credenciales sea legítimo, dijo Kron.
También pueden usar la autenticación multifactor, por lo que incluso si los empleados renuncian a las credenciales, existe una protección adicional para mantener a los atacantes fuera de la red corporativa, agregó.