Usuarios de Workplace 365 dirigidos por páginas de estafa de correo de voz


Durante las últimas semanas, McAfee Labs ha estado observando una nueva campaña de phishing utilizando un mensaje falso de correo de voz para atraer a las víctimas a ingresar sus credenciales de correo electrónico de Workplace 365. Al principio, creíamos que solo se estaba utilizando un package de phishing para obtener las credenciales del usuario. Sin embargo, durante nuestra investigación, encontramos tres kits maliciosos diferentes y evidencia de que varias compañías de alto perfil están siendo atacadas. Los clientes de McAfee que usan VSE, ENS, Livesafe, WebAdvisor y MGW están protegidos contra esta campaña de phishing.

El ataque comienza cuando la víctima recibe un correo electrónico informándole que ha perdido una llamada telefónica, junto con una solicitud para iniciar sesión en su cuenta para acceder a su correo de voz.

A continuación se muestra un ejemplo del correo electrónico malicioso:

El correo electrónico de phishing contiene un archivo HTML como archivo adjunto que, cuando se carga, redirige al usuario al sitio world-wide-web de phishing. Existen ligeras variaciones en el archivo adjunto, pero las más recientes contienen una grabación de audio de alguien hablando que hará que la víctima crea que está escuchando el comienzo de un correo de voz legítimo.

El código HTML que reproduce la grabación se muestra a continuación:

Una vez redirigido, se muestra a la víctima la página de phishing que le pide que inicie sesión en su cuenta. La dirección de correo electrónico se rellena previamente cuando se carga el sitio world wide web Este es otro truco para reforzar la creencia de la víctima de que el sitio es legítimo.

Cuando se ingresa la contraseña, se le presenta al usuario la siguiente página de inicio de sesión exitosa y se lo redirige a la página de inicio de sesión de office.com.

Observamos los siguientes nombres de archivo que se utilizan para los archivos adjuntos:

  • 10-agosto-2019.wav.html (Formato: DD-Thirty day period-YYYY.wav.html)
  • 14-agosto-2019.html (Formato: DD-Mes-AAAA.html)
  • Voice-17-July2019wav.htm (Formato: Voice- DD-MonthYYYYwav.htm)
  • Audio_Phone_Concept15-agosto-2019.wav.html (Formato: Audio_Telephone_MessageDD-Month-YYYY.wav.html)

Sitios de phishing

Como se explicó en la introducción, nos sorprendió observar tres kits diferentes de phishing que se utilizan para generar sitios world-wide-web maliciosos. Los tres parecen casi idénticos, pero pudimos diferenciarlos observando el código HTML generado y los parámetros que fueron aceptados por el script PHP.

Voicemail Scmpage 2019 (no es un mistake tipográfico)

El primer package se vende en un canal ICQ y el creador lo anuncia en las redes sociales. El package lleva el nombre de «Voicemail Scmpage 2019» y funciona con una clave de licencia, donde la clave de licencia se verifica antes de cargar el sitio de phishing.

A continuación se muestra un fragmento del código HTML generado:

Se crea un archivo, info.txt, en el sitio web comprometido y contiene una lista de visitantes, incluida su dirección IP, navegadores web y la fecha.

Los siguientes datos se obtienen de las víctimas y se envían por correo electrónico al propietario del sitio de phishing:

  • Electronic mail
  • Contraseña
  • Dirección IP
  • Región (ubicación)

Place of work 365 Facts Hollar

El segundo kit de phishing que descubrimos se llama «Place of work 365 Facts Hollar». Este package es muy related al «Voicemail Scmpage 2019» y recopila los mismos datos, como se muestra en la imagen a continuación:

Tercer package «Sin nombre»

El kit de phishing closing no tiene marca y no pudimos encontrar ninguna atribución. Este kit hace uso del código de un package malicioso anterior dirigido a usuarios de Adobe en 2017. Es posible que el autor authentic de 2017 haya modificado este kit, o tal vez sea más probable que el código antiguo haya sido reutilizado por un nuevo grupo.

Este package también recoge los mismos datos que los dos anteriores. El «Package sin nombre» es la página maliciosa más frecuente que hemos observado al rastrear estas campañas de phishing de correo de voz.

Industrias dirigidas

Durante nuestra investigación, observamos que las siguientes industrias están dirigidas a este tipo de correos electrónicos de phishing:

(Los servicios incluyen turismo, entretenimiento, bienes raíces y otros que son demasiado pequeños para agrupar)

Se apuntó una amplia gama de empleados, desde la gerencia media hasta el own de nivel ejecutivo. Creemos que este es un «Phishing» y «Whaling» Campaña.

Conclusión

El objetivo de los actores maliciosos es obtener la mayor cantidad de credenciales posible, obtener acceso a información potencialmente confidencial y abrir la posibilidad de suplantación del personal, lo que podría ser muy perjudicial para la empresa. Las credenciales ingresadas también podrían usarse para acceder a otros servicios si la víctima united states of america la misma contraseña, y esto podría dejarlos abiertos a un rango más amplio de ataques dirigidos.

Lo que diferencia a esta campaña de phishing de otras es el hecho de que incorpora audio para crear una sensación de urgencia que, a su vez, incita a las víctimas a acceder al enlace malicioso. Esto le da al atacante la ventaja en el lado de la ingeniería social de esta campaña.

Instamos a todos nuestros lectores a estar atentos al abrir correos electrónicos y nunca abrir archivos adjuntos de remitentes desconocidos. También recomendamos enfáticamente no usar la misma contraseña para diferentes servicios y, si un usuario cree que su contraseña está comprometida, se recomienda cambiarla lo antes posible.

Se recomienda encarecidamente utilizar la autenticación de dos factores (2FA), ya que proporciona un mayor nivel de garantía que los métodos de autenticación basados ​​en la autenticación de aspect único (SFA), como el que muchos usuarios utilizan para sus cuentas de Business 365.

Cuando sea posible para los clientes empresariales, recomendamos bloquear los archivos adjuntos .html y .htm en el nivel de la puerta de enlace de correo electrónico para que este tipo de ataque no llegue al usuario remaining.

Además, asegúrese de leer nuestro web site complementario cuyos detalles cómo puede mantenerse a salvo de tales campañas de phishing.

Indicadores de compromiso

Adjunto de correo electrónico con el siguiente nombre de archivo:

10-agosto-2019.wav.html (Formato: DD-Month-YYYY.wav.html)

14-agosto-2019.html (Formato: DD-Mes-AAAA.html)

Voice-17-July2019wav.htm (Formato: Voice- DD-MonthYYYYwav.htm)

Audio_Phone_Concept15-agosto-2019.wav.html (Formato: Audio_Telephone_MessageDD-Thirty day period-YYYY.wav.html)

Detecciones de McAfee

HTML / Phishing.g V2 DAT = 9349, V3 DAT = 3800

HTML / Phishing.av V2 DAT = 9371, V3 DAT = 3821

HTML / Phishing.aw V2 DAT = 9371, V3 DAT = 3821

No se proporcionarán los valores hash de los archivos adjuntos, ya que esto proporcionará información sobre los objetivos potenciales

Dominios:

(Dominios (todos bloqueados por McAfee WebAdvisor)

h ** ps: //aws.oficce.cloudns.asia/are living/? e-mail =

h ** ps: //katiorpea.com/? e mail =

h ** ps: //soiuurea.com/? e mail =

h ** ps: //afaheab.com/? e mail =

h ** ps: //aheahpincpea.com/? email =

Más información sobre ataques de phishing:





Enlace a la noticia first