La campaña de phishing de Microsoft 365 explota Samsung, Adobe y la Universidad de Oxford


El ataque redirige a los usuarios a través de sitios website legítimos en un intento de capturar sus credenciales de Microsoft, dice Check Position Study.

suplantación de identidad

Imagen: weerapatkiatdumrong, Getty Pictures / iStockphoto

Microsoft es un
marca well-known para los cibercriminales

hacerse pasar por campañas de phishing. Los productos de la compañía son utilizados por una gran cantidad de personas, tanto particular como profesionalmente. Además, obtener acceso a las credenciales de Microsoft de alguien puede abrir la clave a una variedad de sitios web y servicios asociados. Una campaña en particular analizada por el proveedor de inteligencia de amenazas cibernéticas Check out Place Investigate redirigió a las personas a través de una serie de sitios internet legítimos en un esfuerzo por robar sus credenciales de Microsoft.

VER: Lucha contra los ataques de phishing en las redes sociales: 10 consejos (PDF gratuito) (TechRepublic)

en un publicación de weblog publicada el jueves, Check out Position describió el método mediante el cual los atacantes explotaron uno de los servidores de correo de la Universidad de Oxford para enviar el correo electrónico inicial, abusaron de una herramienta de redirección de Adobe Campaign y luego usaron un dominio de Samsung para llevar a los usuarios a un sitio world-wide-web de phishing con temática de Microsoft Business 365. El objetivo era aprovechar los sitios y servicios legítimos en un esfuerzo por evadir el computer software de seguridad. Descubierto por primera vez en abril, el 43% de los ataques se dirigieron a empresas europeas, mientras que el resto se encontró en Asia y Oriente Medio.

La mayoría de los correos electrónicos observados provenían de múltiples direcciones que pertenecían a subdominios legítimos de diferentes departamentos de la Universidad de Oxford. Al usar los servidores SMTP de Oxford, los atacantes pudieron escabullirse de la verificación de reputación del dominio del remitente. También podrían generar tantas direcciones de correo electrónico como fueran necesarias.

El correo electrónico enviado afirma ofrecer correo de voz perdido relacionado con la cuenta de Office 365 del destinatario con referencias a Office environment 365 y Microsoft e incluso un aviso falso de «Mensaje del servidor de confianza» en la parte superior. El correo electrónico solicita al destinatario que haga clic en un botón para escuchar o descargar sus mensajes de voz perdidos. Al hacer clic en ese botón, las víctimas desprevenidas se dirigen a una página de phishing que les pide que inicien sesión con su cuenta de Microsoft.

office-365-phishing-email-check-point-research.jpg "src =" https://tr2.cbsistatic.com/hub/i/r/2020/06/18/5daac837-548c-46f7-a89b-1df9b9a871b5 /resize/770x/81f516ac48a75c4ffb3a43e2ea6e9ab5/office-365-phishing-email-check-point-research.jpg

Imagen: Test Point Exploration

Detrás de escena, sin embargo, el viaje entre el correo electrónico y la página de phishing pasa por varios pasos. Primero, los usuarios son redirigidos a un Campaña de Adobe servidor. Ofrecido por Adobe para enviar correos electrónicos a los vendedores, Adobe Marketing campaign ha sido explotado en otros intentos de phishing para agregar legitimidad a las URL utilizadas en mensajes maliciosos.

En este caso, el enlace en el correo electrónico dirige a las personas a un servidor de Adobe utilizado por Samsung durante una campaña de advertising and marketing de Cyber ​​Monday de 2018. Aprovechando el Formato de enlace de Adobe Marketing campaign y un dominio legítimo de Samsung, los atacantes intentaron eludir la protección de seguridad basada en la reputación, las listas negras y los patrones de URL.

Luego, los atacantes redirigen a los usuarios a uno de los varios sitios comprometidos de WordPress que contienen código de redireccionamiento malicioso. Agregar esta capa es otra forma de evadir los productos de seguridad, ya que la URL en el correo electrónico apunta a un sitio de WordPress aparentemente legítimo en lugar de una página de phishing dudosa.

Como paso remaining, la página de phishing se encuentra en uno de los sitios comprometidos de WordPress. Creada con JavaScript, esta página parece una página de inicio de sesión legítima de Microsoft que solicita el nombre de usuario y la contraseña de la persona.

office-365-phishing-landing-page-check-point-research.jpg "src =" https://tr4.cbsistatic.com/hub/i/r/2020/06/18/890930d8-2f6d-4dda-b4f8 -8db5788d21e4 / redimensionar / 770x / d9ca848a263c7a7ac0e03dc37e99fa0d / office-365-phishing-landing-page-check-point-point-research.jpg

Imagen: Verify Issue Study

Para eludir alertas o bloqueos de seguridad, los atacantes buscaron en una ingeniosa bolsa de trucos. El uso de un servidor de correo electrónico de Oxford para enviar el correo electrónico inicial les ayudó a evitar los filtros de reputación. Los enlaces dentro del correo electrónico apuntaban a un dominio legítimo propiedad de Samsung. Y una serie de redireccionamientos resultó en una página de phishing oculta.

office-365-phishing-redirects-check-point-research.jpg "src =" https://tr1.cbsistatic.com/hub/i/r/2020/06/18/e31c1cff-076a-44ea-be06-1c9a92467594 /resize/770x/112c697d7712ac2ab3b45974f5ece593/office-365-phishing-redirects-check-point-research.jpg

Imagen: Examine Point Exploration

«Lo que parecía ser una campaña clásica de phishing de Office 365 resultó ser una estrategia maestra: usar marcas conocidas y de buena reputación para evadir productos de seguridad en el camino hacia las víctimas», dijo Lotem Finkelsteen, gerente de inteligencia de amenazas de Verify Level. TechRepublic.

«Hoy en día, esta es una técnica remarkable para establecer un punto de apoyo dentro de una pink corporativa. El acceso al correo corporativo puede permitir a los piratas informáticos acceso ilimitado a las operaciones de una empresa, como transacciones, informes financieros, envío de correos electrónicos dentro de la empresa desde una fuente confiable, contraseñas, e incluso las direcciones de los activos en la nube de una empresa. Para llevar a cabo el ataque, el hacker tuvo que obtener acceso a los servidores de Samsung y Oxford, lo que significa que tuvo tiempo de comprender su funcionamiento interno, lo que le permitió pasar desapercibido «.

Para protegerse contra los ataques de phishing que explotan Microsoft 365 y otros servicios en la nube, Check Place ofrece tres consejos:

  1. Usa diferentes contraseñas para su aplicación en la nube. La segregación protege sus activos cuando uno está expuesto.
  2. Use soluciones de seguridad de correo y nube. El hecho de que estas campañas prosperen demuestra que las soluciones de seguridad nativas son fáciles de eludir. Use soluciones de seguridad de correo y nube para eliminar las amenazas a su correo electrónico y proteger su infraestructura de nube.
  3. No ingrese sus credenciales cuando no esperabas hacerlo. A menudo, es una estafa disfrazada.

Roger Grimes, evangelista de defensa basado en datos para KnowBe4, también tiene algunos consejos para compartir.

«Los correos electrónicos de phishing enviados por un tercero de confianza comprometido han ido en aumento durante al menos dos años», dijo Grimes. «Cuando hablo con los CIO, me dicen que este es el tipo de correo electrónico de phishing que ven cada vez más y el que más les preocupa. Consejos tradicionales contra el phishing como &#39No confíes en el correo electrónico que viene de personas que no conoces saber «o» No abras archivos adjuntos de personas que no conoces «no funciona. En estos días, los correos electrónicos de phishing provienen de personas y marcas en las que confías y con las que tienes relaciones continuas».

Para combatir estas últimas amenazas de phishing, Grimes sugiere los siguientes pasos:

  1. Educar a los usuarios sobre estos tipos de ataques provenientes de terceros confiables comprometidos.
  2. Implementar el marco de políticas del remitente (SPF), Correo de claves identificadas de dominio (DKIM) y DMARC para garantizar que el dominio de envío en el correo electrónico sea realmente el dominio del que proviene.
  3. Educar a los usuarios para preocuparse más por la solicitud specific que por la parte de envío de la que proviene. Si la solicitud es inesperada y solicita una acción nunca antes solicitada, entonces debe considerarse sospechosa e investigarse más antes de realizar la acción solicitada.
  4. La mayoría de estos tipos de correos electrónicos de phishing tienen «eventos estresantes» en ellos, diciéndole al usuario que necesita hacer algo de inmediato, o de lo contrario sucederá algo irreversiblemente malo. Enseñe a los usuarios finales a sospechar de todos los correos electrónicos que contienen eventos estresantes. Si llega un correo electrónico diciendo que necesita actuar rápidamente, es el momento de detenerse y pensar antes de actuar.
  5. Por último, diga a los usuarios que llamen al remitente legítimo cuando algo parece inusual Que sea una política. Deben llamar utilizando números de teléfono predefinidos y no confiar en ningún número de teléfono o información de contacto en el correo electrónico.

Ver también



Enlace a la noticia unique