Los atacantes dejan las credenciales robadas en Google



Los operadores detrás de una campaña international de phishing dejaron inadvertidamente miles de credenciales robadas accesibles a través de la Búsqueda de Google.

Los atacantes detrás de una campaña de phishing del verano de 2020 expusieron accidentalmente las credenciales que robaron a la Net pública, donde podrían ser descubiertas con una simple búsqueda en Google.

En agosto pasado, los operadores lanzaron una campaña con correos electrónicos maliciosos disfrazados de notificaciones de escaneo de Xerox, informan los investigadores de Look at Point en un análisis realizado junto con la firma de ciberseguridad industrial Otorio.

A los destinatarios de estos correos electrónicos, que contenían su nombre de pila o el título de la empresa en la línea de asunto, se les pidió que abrieran un archivo adjunto HTML. Si se abría el archivo, se ejecutaba un código JavaScript en segundo plano para realizar comprobaciones de contraseñas, enviar los datos al servidor de los atacantes y redirigir a la víctima a una página de inicio de sesión legítima de Microsoft 365, donde podían ingresar credenciales.

Suena como una basic cadena de infección, señalan los investigadores, pero superó con éxito la Protección contra amenazas avanzada de Microsoft 365 y robó más de 1000 credenciales de empleados.

En el transcurso de la campaña, los atacantes ajustaron su código para que el ataque pareciera más realista para que las víctimas no lo piensen dos veces antes de ingresar sus datos. Técnicas simples les permitieron evadir a la mayoría de los proveedores de antivirus, como lo indican las bajas tasas de detección, según el informe.

Los atacantes utilizaron infraestructura especializada y sitios web de WordPress comprometidos como servidores de zona de caída. El servidor funcionaría durante unos dos meses con docenas de dominios XYZ, que se utilizaron en los ataques de phishing. Los investigadores encontraron varios servidores WordPress comprometidos que alojaban la página PHP maliciosa y procesaban las credenciales entrantes de las víctimas de phishing.

Cuando los datos de las víctimas se enviaron a los servidores de la zona de caída, se guardaron en un archivo visible públicamente que Google podría indexar. Cualquiera puede encontrar la información robada con una búsqueda en Google.

El poderoso algoritmo del motor de búsqueda de Google, creado para indexar la Website, pudo indexar las páginas donde los atacantes almacenaban temporalmente credenciales robadas. Los investigadores informaron a Google del incidente ahora las víctimas pueden buscar sus datos robados y cambiar las contraseñas según sea necesario.

Con toda esta información disponible gratuitamente, investigadores analizados Aproximadamente 500 credenciales robadas y aprendieron que el mayor porcentaje de víctimas (16,7%) trabajaba en la construcción. La energía (10,7%), la tecnología de la información (6%) y la salud (4,5%) siguieron como las industrias más afectadas.

También notaron similitudes con otra actividad de phishing que, según dicen, probablemente fue realizada por el mismo grupo. Estas campañas anteriores tenían tácticas, técnicas y procedimientos (TTP) similares a esta: en mayo de 2020, se diseñó un correo electrónico de phishing que «coincidía perfectamente» con los TTP de esta campaña para redirigir a la víctima a una página fraudulenta de phishing de Office environment 365.

Banderas rojas a tener en cuenta
Los investigadores instan a los lectores a tener cuidado con los correos electrónicos o la comunicación de una organización conocida que les pide que abran un documento o hagan clic en un enlace. Deben ser conscientes de los dominios parecidos, los errores ortográficos, los remitentes desconocidos y las acciones que un remitente no suele solicitar.

Los compradores en línea deben verificar que estén solicitando productos de una fuente legítima, añaden. En lugar de hacer clic en los enlaces de los correos electrónicos promocionales, deberían acceder directamente al sitio website del minorista. Tenga cuidado con las llamadas «ofertas especiales» que parecen demasiado buenas para ser verdad, dicen los investigadores, y agregue una capa adicional de protección mediante el uso de diferentes contraseñas en las cuentas.

Kelly Sheridan es la editora de personal de Darkish Looking at, donde se enfoca en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial