75.000 bandejas de entrada de correo electrónico impactadas en una nueva campaña de phishing de credenciales



Unas 75.000 bandejas de entrada de correo electrónico se han visto afectadas hasta ahora en lo que parece ser una campaña de phishing por correo electrónico motivada por la recolección de credenciales.

Los investigadores de seguridad de Armorblox informaron esta semana que observaron el ataque a los sistemas de los clientes en los entornos de Office 365, Microsoft Exchange y Google Workspace. Muchos de los ataques involucraron a los actores de amenazas dirigidos a pequeños grupos de empleados de diferentes departamentos dentro de una organización en un aparente intento de mantener un perfil bajo. Las personas a las que se dirige la campaña incluyen el director financiero de una empresa, un vicepresidente senior de finanzas y operaciones en una empresa de bienestar, un director de operaciones y un profesor.

Abhishek Iyer, director de marketing and advertising de productos de Armorblox, dice que hay poca evidencia de que los atacantes vayan tras una industria específica. Pero hasta ahora, los ataques han afectado a los clientes de Armorblox en múltiples verticales, que incluyen energía, gobierno neighborhood, educación top-quality, software y construcción eléctrica.

Iyer dice que los ataques a personas dentro de las organizaciones parecen dirigidos. Las víctimas representan una buena combinación de altos directivos y empleados habituales de toda la empresa.

«Es poco possible que estos empleados se comuniquen con frecuencia entre sí cuando reciben un correo electrónico que parece sospechoso», dice Iyer. «Esto aumenta la probabilidad de que alguien sea víctima del ataque».

El phishing sigue siendo una de las tácticas más empleadas entre los actores de amenazas para lograr un punto de apoyo inicial en una crimson objetivo. Aunque el phishing es quizás uno de los vectores de ataque inicial mejor comprendidos, las organizaciones han tenido dificultades para abordar la amenaza debido a la continua susceptibilidad de los usuarios individuales a los correos electrónicos de phishing.

En muchos casos, los atacantes también se han vuelto mucho más sofisticados en la elaboración de señuelos de phishing y han comenzado a combinar cada vez más el phishing por correo electrónico con el phishing basado en SMS (smshing) y el phishing basado en voz o teléfono (vishing). Según el Grupo de Trabajo Anti Phishing (APWG), la actividad de phishing se duplicó en 2020 y se ha mantenido en un nivel constante pero alto durante la primera mitad de este año. APWG dice que observó 222,127 ataques de phishing solo en junio de 2021, lo que lo convierte en el tercer peor mes en el historial de informes de la organización. Las instituciones financieras y los sectores de redes sociales fueron los objetivos más frecuentes durante el último trimestre.

El ataque que Armorblox informado esta semana implicó el uso de un señuelo que falsificó una notificación de mensaje cifrado del proveedor de seguridad y cifrado de correo electrónico Zix. La notificación, aunque no es idéntica a una notificación legítima de Zix, se parece lo suficiente al original como para hacer que los destinatarios crean que han recibido un correo electrónico válido. El dominio desde el cual los actores de la amenaza envían el correo electrónico malicioso pertenecía a una organización religiosa establecida en 1994 y es probable que sea una versión obsoleta o antigua del dominio principal de la organización.

Dominio legítimo
«Si tuviéramos que identificar cualquier motivo por el que el correo electrónico se salga de los controles de seguridad existentes, sería utilizar un dominio legítimo para enviar el correo electrónico», señala Iyer. «Esto permitió que el correo electrónico pasara por alto todas las comprobaciones de autenticación». El resto de la campaña, como la mayoría de las estafas de phishing, se basó en la suplantación de identidad de la marca y la ingeniería social para engañar a los usuarios para que hicieran clic en la notificación de Zix falsificada.

En los ataques que observó Armorblox, el actor de la amenaza parece haber evitado deliberadamente apuntar a varios empleados dentro de un solo departamento. En cambio, parecen haber elegido a sus víctimas de varios departamentos para aumentar sus probabilidades de que alguien se enamore del correo electrónico malicioso.

«Los objetivos están lo suficientemente aislados, ya sea por departamento o jerarquía, como para no discutir el correo electrónico sospechoso entre sí», dice Iyer. «Como la mayoría de los ataques de phishing, hay pocas novedades en las tácticas que utilizan los actores de amenazas.» Lo interesante de los ataques de correo electrónico exitosos es que rara vez usan TTP nunca antes vistos para hacer daño «, dice.

Desde la perspectiva de los controles de seguridad, agrega, es importante que las organizaciones refuercen los controles de seguridad del correo electrónico nativo con capacidades para detectar el comportamiento, el idioma, la comunicación y otros patrones que pueden ayudar a identificar mejor un intento de phishing.



Enlace a la noticia primary