Usuarios de Business 365 dirigidos por páginas de estafa de correo de voz

Ciberseguridad


En las últimas semanas, McAfee Labs ha estado observando una nueva campaña de phishing utilizando un mensaje falso de correo de voz para atraer a las víctimas a ingresar sus credenciales de correo electrónico de Office 365. Al principio, creíamos que solo se estaba utilizando un package de phishing para obtener las credenciales del usuario. Sin embargo, durante nuestra investigación, encontramos tres kits maliciosos diferentes y evidencia de que varias compañías de alto perfil están siendo atacadas. Los clientes de McAfee que usan VSE, ENS, Livesafe, WebAdvisor y MGW están protegidos contra esta campaña de phishing.

El ataque comienza cuando la víctima recibe un correo electrónico informándole que ha perdido una llamada telefónica, junto con una solicitud para iniciar sesión en su cuenta para acceder a su correo de voz.

A continuación se muestra un ejemplo del correo electrónico malicioso:

El correo electrónico de phishing contiene un archivo HTML como archivo adjunto que, cuando se carga, redirige al usuario al sitio world-wide-web de phishing. Existen ligeras variaciones en el archivo adjunto, pero las más recientes contienen una grabación de audio de alguien hablando, lo que hará que la víctima crea que está escuchando el comienzo de un correo de voz legítimo.

El código HTML que reproduce la grabación se muestra a continuación:

Una vez redirigido, se muestra a la víctima la página de phishing que le pide que inicie sesión en su cuenta. La dirección de correo electrónico se rellena previamente cuando se carga el sitio net Este es otro truco para reforzar la creencia de la víctima de que el sitio es legítimo.

Cuando se ingresa la contraseña, se le presenta al usuario la siguiente página de inicio de sesión exitosa y se lo redirige a la página de inicio de sesión de office environment.com.

Observamos los siguientes nombres de archivo que se utilizan para los archivos adjuntos:

  • 10-agosto-2019.wav.html (Formato: DD-Thirty day period-YYYY.wav.html)
  • 14-agosto-2019.html (Formato: DD-Mes-AAAA.html)
  • Voice-17-July2019wav.htm (Formato: Voice- DD-MonthYYYYwav.htm)
  • Audio_Phone_Information15-agosto-2019.wav.html (Formato: Audio_Telephone_MessageDD-Thirty day period-YYYY.wav.html)

Sitios de phishing

Como se explicó en la introducción, nos sorprendió observar tres kits diferentes de phishing que se utilizan para generar sitios net maliciosos. Los tres parecen casi idénticos, pero pudimos diferenciarlos observando el código HTML generado y los parámetros que fueron aceptados por el script PHP.

Voicemail Scmpage 2019 (no es un error tipográfico)

El primer kit se vende en un canal ICQ y el creador lo anuncia en las redes sociales. El kit lleva el nombre de «Voicemail Scmpage 2019» y funciona con una clave de licencia, donde la clave de licencia se verifica antes de cargar el sitio de phishing.

A continuación se muestra un fragmento del código HTML generado:

Se crea un archivo, info.txt, en el sitio net comprometido y contiene una lista de visitantes, incluida su dirección IP, navegadores world wide web y la fecha.

Los siguientes datos se obtienen de las víctimas y se envían por correo electrónico al propietario del sitio de phishing:

  • E-mail
  • Contraseña
  • Dirección IP
  • Región (ubicación)

Workplace 365 Data Hollar

El segundo package de phishing que descubrimos se llama «Place of work 365 Details Hollar». Este kit es muy equivalent al «Voicemail Scmpage 2019» y recopila los mismos datos, como se muestra en la imagen a continuación:

Tercer kit «Sin nombre»

El package de phishing closing no tiene marca, y no pudimos encontrar ninguna atribución. Este package hace uso del código de un package malicioso anterior dirigido a usuarios de Adobe en 2017. Es posible que el autor primary de 2017 haya modificado este kit, o tal vez sea más possible que el código antiguo haya sido reutilizado por un nuevo grupo.

Este kit también recoge los mismos datos que los dos anteriores. El «Kit sin nombre» es la página maliciosa más frecuente que hemos observado al rastrear estas campañas de phishing de correo de voz.

Industrias dirigidas

Durante nuestra investigación, observamos que las siguientes industrias están dirigidas a este tipo de correos electrónicos de phishing:

(Los servicios incluyen turismo, entretenimiento, bienes raíces y otros que son demasiado pequeños para agrupar)

Se apuntó a una amplia gama de empleados, desde la gerencia media hasta el individual de nivel ejecutivo. Creemos que este es un «Phishing» y «Whaling» Campaña.

Conclusión

El objetivo de los actores malintencionados es obtener la mayor cantidad de credenciales posible, obtener acceso a información potencialmente confidencial y abrir la posibilidad de suplantación del personal, lo que podría ser muy perjudicial para la empresa. Las credenciales ingresadas también podrían usarse para acceder a otros servicios si la víctima usa la misma contraseña, y esto podría dejarlos abiertos a un rango más amplio de ataques dirigidos.

Lo que diferencia a esta campaña de phishing de otras es el hecho de que incorpora audio para crear una sensación de urgencia que, a su vez, incita a las víctimas a acceder al enlace malicioso. Esto le da al atacante la ventaja en el lado de la ingeniería social de esta campaña.

Instamos a todos nuestros lectores a estar atentos al abrir correos electrónicos y nunca abrir archivos adjuntos de remitentes desconocidos. También recomendamos encarecidamente no usar la misma contraseña para diferentes servicios y, si un usuario cree que su contraseña está comprometida, se recomienda cambiarla lo antes posible.

Se recomienda encarecidamente utilizar la autenticación de dos factores (2FA), ya que proporciona un mayor nivel de garantía que los métodos de autenticación basados ​​en la autenticación de aspect único (SFA), como el que muchos usuarios utilizan para sus cuentas de Workplace 365.

Cuando sea posible para los clientes empresariales, recomendamos bloquear los archivos adjuntos .html y .htm en el nivel de la puerta de enlace de correo electrónico para que este tipo de ataque no llegue al usuario final.

Además, asegúrese de leer nuestro blog complementario que detalla cómo puede mantenerse a salvo de tales campañas de phishing.

Indicadores de compromiso

Adjunto de correo electrónico con el siguiente nombre de archivo:

10-agosto-2019.wav.html (Formato: DD-Month-YYYY.wav.html)

14-agosto-2019.html (Formato: DD-Mes-AAAA.html)

Voice-17-July2019wav.htm (Formato: Voice- DD-MonthYYYYwav.htm)

Audio_Telephone_Information15-agosto-2019.wav.html (Formato: Audio_Telephone_MessageDD-Month-YYYY.wav.html)

Detecciones de McAfee

HTML / Phishing.g V2 DAT = 9349, V3 DAT = 3800

HTML / Phishing.av V2 DAT = 9371, V3 DAT = 3821

HTML / Phishing.aw V2 DAT = 9371, V3 DAT = 3821

No se proporcionarán los valores hash de los archivos adjuntos, ya que esto proporcionará información sobre los posibles objetivos

Dominios:

(Dominios (todos bloqueados por McAfee WebAdvisor)

h ** ps: //aws.oficce.cloudns.asia/live/? electronic mail =

h ** ps: //katiorpea.com/? e-mail =

h ** ps: //soiuurea.com/? email =

h ** ps: //afaheab.com/? e-mail =

h ** ps: //aheahpincpea.com/? email =

Más información sobre ataques de phishing:





Enlace a la noticia initial

Related Posts

Twitter finaliza SMS 2FA gratis: así es como puede proteger su cuenta ahora

21/03/2023

Las vulnerabilidades del conjunto de chips Samsung sin parches abren a los usuarios de Android a los ataques RCE

21/03/2023

Los piratas informáticos de Mirai utilizan Golang para crear una red de bots DDoS más grande y más agresiva

21/03/2023

¿Amenazas de ciberseguridad sobrevaloradas o no?

20/03/2023

Política de respuesta de seguridad | RepúblicaTecnológica

20/03/2023

AI tiene sus datos comerciales

20/03/2023