Spear Phishing apunta a Microsoft para acumular un gran número de credenciales Los ataques de Spear Phishing desvían las credenciales de Microsoft


Observamos un aumento considerable en los ataques de phishing durante la pandemia de COVID-19. Durante nuestro análisis, nos encontramos con una campaña de Spear Phishing dirigida a personas de alto perfil para la recolección de credenciales. Los correos electrónicos que analizamos enlazan a páginas de inicio de sesión falsas que imitan los inicios de sesión de Office 365 para las organizaciones víctimas.

Fig.1 - Flujo del ataque de phishing

Fig.1 – Flujo del ataque de phishing

Aquí está el análisis técnico de algunos de estos correos electrónicos de Spear Phishing:

Correo de facturación de impuestos

Instancias de correos electrónicos maliciosos enviados a objetivos de alto valor que consisten en Factura (s) de impuestos marcados como confidenciales fueron observados en esta campaña. Esta comunicación incluye información relacionada con COVID-19 y detalles del remitente; este último pretende ser el director ejecutivo de un banco de un país del este de África. Sin embargo, el nombre de dominio correspondiente se falsifica como el departamento de finanzas de la organización del usuario objetivo (borroso en rojo) en un intento de hacer que el correo electrónico parezca lo más legítimo posible.

Fig.2 - Correo electrónico de factura de impuestos falsa

Fig.2 – Correo electrónico de factura de impuestos falsa

En la imagen de arriba, el dominio "Tld" en el "enviado desde" indica que está relacionado con el país africano de Malawi.

Una URL maliciosa está incrustada en la llamada a la acción en este correo electrónico como se ve a continuación:

https (:) // AAAA (.) israelandamerica (.) com / 95125? (ID de destino codificado en base64) = && mic # 73747? xxxx = xxxx =

Esta URL contiene el nombre de la organización del usuario objetivo (AAAA) como subcadena y el ID de correo electrónico de la víctima objetivo en formato codificado en base64.

Cuando el usuario objetivo haga clic en abrir, redirigirá y aterrizará en una página falsa con una URL diferente como se muestra a continuación. La página de phishing falsa se ve exactamente como la página de inicio de sesión de Microsoft Office. La URL redirigida puede tener una subcadena de la organización del usuario destinada a hacer que el usuario crea sobre la legitimidad del sitio web.

El ID de correo electrónico dirigido se procesa a partir de URL incrustadas codificadas en base64.

Fig.3 - Página de destino falsa

Fig.3 – Página de destino falsa

En la imagen de abajo, la subcadena organizativa (borrosa) está presente junto con el logotipo de la organización con el ID de correo electrónico del objetivo.

Fig.4 - Campo de contraseña

Fig.4 – Campo de contraseña

Para que esto parezca aún más genuino, el atacante también muestra un mensaje importante para el usuario objetivo.

Independientemente de la contraseña que ingrese, este paso siempre generará un error al engañar al usuario para que haga clic en "restablecer contraseña". Una vez que haga clic en restablecer la contraseña, se abrirá una página de inicio de sesión similar con una nueva URL que incluye una ID de correo electrónico codificada para representar.

Fig.5 - Página de restablecimiento de contraseña

Fig.5 – Página de restablecimiento de contraseña

Durante el análisis de tráfico, descubrimos que la contraseña ingresada junto con la ID de correo electrónico se publica en un servidor remoto en el tráfico de fondo.

Fig.6 - Publicación de credenciales en el servidor remoto

Fig.6 – Publicación de credenciales en el servidor remoto

Usuario objetivo Contraseña de Email se envía con contraseña de usuario parámetros en la solicitud POST.

El certificado TLS para este dominio tiene una validez a corto plazo desde el 30 de diciembre de 20 hasta el 30 de marzo de 21: las IP 199.19.225.191 y 20.37.247.74 se encuentran y se asocian con dominios durante el análisis. La vida útil del dominio fue corta y también identificó el agente de usuario / navegador múltiple después de algunos intentos y redireccionó a sitios web normales con cambios de subcadena numérica de dominio en cada intento.

También se identifica que el atacante se dirige a funcionarios de alto nivel de varias organizaciones con ID de correo electrónico codificados que aparecen como la "Lista de aciertos" del atacante.

Correo electrónico de phishing con correo de voz como archivo adjunto

Se identificó un intento de phishing similar con un script incrustado en los correos electrónicos de mensajes de audio como se muestra a continuación. En este tipo de ataque, el correo electrónico contiene un dominio japonés, mapeado con el nombre de la organización objetivo, que en este caso es "CALLER".

Fig.1 - Correo electrónico del atacante

Fig.1 – Correo electrónico del atacante

El script incrustado en el correo tenía un código hexadecimal con una URL que llega a un sitio de phishing. Las partes ocultas contienen codificación base64 en el ID de correo electrónico del usuario objetivo.

Fig.2 - Escritura codificada hexadecimal

Fig.2 – Escritura codificada hexadecimal

Fig.3 - Script decodificado

Fig.3 – Script decodificado

En la secuencia de comandos decodificada anteriormente, se puede ver la URL de phishing donde el parámetro "mi" contiene el valor codificado en base64 del ID de correo electrónico del usuario de destino. Una vez que se ejecuta el script anterior, el usuario es redirigido a una página de phishing.

Fig.4- validación de reCaptcha

Fig.4- validación de reCaptcha

En la imagen siguiente, podemos ver una página de destino falsa de Office 365 con el logotipo de la organización. El ID de correo electrónico del usuario de destino se representa a partir del valor del parámetro de URL de secuencia de comandos codificado.

Fig.5 - Página de entrada de credenciales falsas

Fig.5 – Página de entrada de credenciales falsas

Después de ingresar la contraseña, da un error para el primer intento: mostraría un mensaje de validación exitosa y luego redirigiría el clip de audio de voz. Las credenciales se enviarán a un servidor remoto.

El clip de audio es un breve mensaje en mp3 sobre una solicitud de llamada. Reintentar para el club principal kfd-d0k (.) Puede llevar a sitios web normales. Los subdominios están relacionados con Latinoamérica con una vida útil corta y los certificados TLS también son válidos por algunos meses.

"Ejecutar spear-phishing ataques, los vectores maliciosos tendrían la lista de ID de correo electrónico objetivo y detalles de la organización. Los intentos de explotación se pueden iniciar a través de correos electrónicos / mensajería instantánea o cualquier otro método con scripts / URL incrustados. El objetivo final de los atacantes es recolectar las credenciales de las personas de alto valor para perturbar las organizaciones, conducir a estafas, robar información crítica, etc..

Consejos para detectar ataques de phishing

Validar los detalles del remitente del correo electrónico: Valide el ID y los nombres de correo electrónico del remitente para comprobar la suplantación de identidad.

Comprobar línea de asunto: Busque palabras como urgencia, Importante y naturaleza financiera en la línea de asunto.

Verificar los enlaces y archivos adjuntos: Verifique la legitimidad colocando el cursor sobre los enlaces, escanee los archivos adjuntos.

Contenido del mensaje y formato de correo electrónico: Lea atentamente la naturaleza del correo electrónico, la intención, verifique los errores gramaticales y el estilo visual y verifique la firma del correo electrónico.

Expertos en la materia

Prashant Tilekar

Shiv Mohan

Shiv Mohan



Enlace a la noticia original