La campaña de phishing compromete a ejecutivos de más de 150 empresas


perswaysion.png

Imagen: Grupo-IB

Un grupo de ciberdelitos que opera desde mediados de 2019 ha violado las cuentas de correo electrónico de ejecutivos de alto rango en más de 150 empresas, informó hoy la firma de ciberseguridad Group-IB.

El grupo, cuyo nombre en código es PerSwaysion, parece haberse dirigido principalmente al sector financiero, que representaba más de la mitad de sus víctimas aunque, también se han registrado víctimas en empresas activas en otras verticales.

Las operaciones de PerSwaysion no fueron sofisticadas, pero sin embargo han sido extremadamente exitosas. Group-IB dice que los hackers no usaron vulnerabilidades o malware en sus ataques, sino que se basaron en una técnica clásica de phishing.

Enviaron correos electrónicos con trampas explosivas a ejecutivos de empresas seleccionadas con la esperanza de engañar a ejecutivos de alto rango para que ingresen las credenciales de Office environment 365 en páginas de inicio de sesión falsas.

Grupo-IB dijo Esquema completo de PerSwaysion podría reducirse a un very simple proceso de tres pasos:

  1. Las víctimas reciben un correo electrónico que contiene un archivo PDF limpio como un archivo adjunto de correo electrónico. Si las víctimas abren el archivo, se les pedirá que hagan clic en un enlace para ver el contenido actual.
  2. El enlace redirigiría a los usuarios a una página de Microsoft Sway (servicio de boletines), donde un archivo comparable le pediría a la víctima que haga clic en otro enlace.
  3. Este último enlace redirige al ejecutivo a una página que imita la página de inicio de sesión de Microsoft Outlook, donde los piratas informáticos recopilarían las credenciales de la víctima
spear-phishing-sample.png "src =" https://zdnet1.cbsistatic.com/hub/i/2020/04/29/c610ef42-e446-4985-84a6-99985c77ca51/spear-phishing-sample.png

Imagen: Grupo-IB

Los operadores de PerSwaysion actuaron rápidamente desde el momento de un phishing exitoso y generalmente accedieron a cuentas de correo electrónico pirateadas en un día.

«Después de que las credenciales se envían a sus (servidores de comando y command), los operadores de PerSwaysion inician sesión en las cuentas de correo electrónico comprometidas. Volcan los datos de correo electrónico a través de API y establecen las conexiones comerciales de alto nivel del propietario», dijo Team-IB.

«Finalmente, generan nuevos archivos PDF de phishing con el nombre completo de la víctima true, dirección de correo electrónico, nombre lawful de la empresa. Estos archivos PDF se envían a una selección de personas nuevas que tienden a estar fuera de la organización de la víctima y ocupan puestos importantes».

Group-IB dijo que una vez que los operadores de PerSwaysion enviaron una nueva campaña de suplantación de identidad (phishing) desde una cuenta comprometida, generalmente también eliminaron los correos electrónicos de suplantación de la carpeta de la bandeja de salida para evitar ser detectados.

Por el momento, Group-IB no ha podido determinar qué han estado haciendo los piratas informáticos después de obtener acceso a estas cuentas de correo electrónico.

Los piratas informáticos podrían estar vendiendo el acceso a otros grupos de delitos informáticos podrían estar sentados, esperando y robando propiedad intelectual o podrían estar preparándose para lanzar un secuestro de pago electrónico (estafa BEC) en una fecha posterior.

Group-IB dijo que, según la evidencia true, el grupo PerSwaysion parece estar formado por miembros con sede en Nigeria y Sudáfrica, está utilizando un kit de herramientas de phishing desarrollado por un programador vietnamita, y el líder del grupo parece ser un sospechoso que se conoce por el nombre de «Sam»

La firma de ciberseguridad lanzada hoy una página internet donde los ejecutivos pueden verificar si sus direcciones de correo electrónico han sido adquiridas y seleccionadas por el grupo en el pasado.



Enlace a la noticia first