El ataque de phishing usó la caja para aterrizar en las bandejas de entrada de las víctimas



Un ataque de phishing dirigido a organizaciones gubernamentales y de seguridad utilizó una página de Box legítima con la marca Microsoft 365 para engañar a las víctimas.

Una campaña de phishing de credenciales recién descubierta utilizó una página world-wide-web legítima de Box y aprovechó la confianza generalizada en Microsoft 365 para capturar las credenciales de las víctimas en una intrincada cadena de ataques.

El equipo de Armorblox descubrió esta amenaza en junio y dice que afectó a los funcionarios de la ciudad, así como a las organizaciones gubernamentales y de ciberseguridad. Los atacantes optaron por alojar el sitio de phishing en una página de Box legítima, lo que, según los expertos en seguridad, ayudó a que los correos electrónicos llegaran a las bandejas de entrada de las víctimas.

Cómo se desarrolló el ataque: los mensajes afirmaban provenir de un proveedor externo y pedían a los lectores que vieran un documento financiero confidencial. Los atacantes crearon una sensación de urgencia al afirmar que «esta entrega solo estará disponible durante 10 días» y agregaron un aire de legitimidad con información sobre otro sitio web legítimo de terceros llamado SecureOnlineDocs (.) Com.

Las víctimas que hicieron clic en el enlace fueron redirigidas a una página alojada en Box, que contenía otro documento que afirmaba estar alojado en OneDrive. Si una víctima hacía clic en el enlace para acceder a este documento, se le enviaba a una página de phishing ultimate creada para parecerse al portal de inicio de sesión de Office environment 365.

«Allí, le piden que inicie sesión con sus credenciales corporativas y luego se lo llevan», dice Arjun Sambamoorthy, cofundador y director de ingeniería de Armorblox.

Los atacantes tuvieron cuidado de hacer que la estafa pareciera actual. Todos los correos electrónicos tenían un nombre de remitente y un dominio de un proveedor externo legítimo. El dominio, tidewaterhomefunding (.) Com, pertenece a una empresa de préstamos hipotecarios para viviendas con sede en Virginia. Es posible que los atacantes obtuvieron las credenciales de un empleado de Tidewater Household Funding y utilizaron la cuenta de esa persona para lanzar los ataques.

Al alojar la página de phishing en Box, los atacantes utilizaron la reputación de un dominio well-known para evitar los filtros de seguridad del correo electrónico. La mayoría de las herramientas de seguridad no marcarían una página de Box, señala Sambamoorthy.

«Los phishers se están volviendo realmente inteligentes en estos días, y en realidad están aprovechando la confianza que la gente ha establecido con sitios de alojamiento como Box, Dropbox, (Microsoft) 365, Google Push y ataques de phishing de alojamiento allí», dice, señalando al equipo. ha visto un aumento en los ataques alojados en Box y Dropbox para volar bajo el radar de los filtros de seguridad.

A pesar de esto, los usuarios cuidadosos pueden notar una marca inusual. La página de Box alberga un documento que dice ser compartido a través de OneDrive, con muchas marcas de Microsoft para tratar de calmar a las víctimas con una sensación de seguridad: frases como «Secured by OneDrive», «OneDrive for Business enterprise» y «Powered by Office environment 365». «se colocaron a lo largo de la página. Sin embargo, Sambamoorthy dice que esto es extraño.

«No tiene sentido», dice. «No creo que alguien pueda alojar un enlace a OneDrive o Google Drive in Box, porque todos son servicios de la competencia. Esto es muy inusual, que suceda algo como esto».

El equipo también notó el enlace que llevó a las víctimas a la página closing de inicio de sesión de Microsoft 365, nantuckettravel (.) icu, se creó el 15 de junio de 2020. Debido a que era tan nuevo, el enlace podía omitir los filtros de seguridad configurados para bloquear dominios antiguos conocidos. Estos llamados enlaces de «día cero» se están volviendo menos comunes, señala Sambamoorthy, porque generalmente se eliminan rápidamente. Los atacantes actuales suelen comprometer un servidor world-wide-web cuando desean crear un sitio de phishing.

Sin embargo, debido a que se basaron en el dominio Box, el ataque ya tenía una mayor probabilidad de llegar a las bandejas de entrada de las víctimas. Esta complicada cadena de ataque mejoró las posibilidades de los phishers de pasar desapercibidos, al menos hasta que se informó del ataque a la industria de la seguridad.

Cuando detectaron la campaña, Armorblox informó de nantuckettravel (.) Icu al Anti-Phishing Doing the job Group (APWG), que recopila y analiza listas de sitios de recopilación de credenciales comúnmente utilizados en ataques de phishing. El sitio también se agregó a la lista de navegadores seguros de Google, por lo que aquellos que accedan a él a través de navegadores establecidos sabrán que es una página maliciosa. Armorblox también alertó a Tidewater Residence Funding sobre el abuso de la cuenta de correo electrónico legítima de un empleado.

Para aquellos que quieran estar más atentos a ataques como estos, Sambamoorthy aconseja estar atentos a la redirección de sitios internet extraños. Un enlace en el que hace clic en Box, por ejemplo, no debe solicitar credenciales de Microsoft ni enviar a alguien a la página de inicio de sesión de otro servicio. Debería ir a la página de autenticación de Box y solicitar las credenciales de Box o las credenciales de la empresa, dice.

La página world-wide-web en sí misma también puede generar señales de alerta. Si una página web de Box está cubierta con la marca Microsoft 365, el visitante tiene motivos para sospechar.

Kelly Sheridan es la editora de individual de Dark Reading, donde se enfoca en noticias y análisis de ciberseguridad. Ella es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y Tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original