Un elaborado y bastante inusual. campaña de phishing está falsificando notificaciones de eFax y utilizando una cuenta comercial de Dynamics 365 Customer Voice comprometida para atraer a las víctimas para que entreguen sus credenciales a través de las páginas de microsoft.com.
Los actores de amenazas han atacado a docenas de empresas a través de la campaña ampliamente difundida, que es dirigido a Microsoft 365 usuarios de una amplia gama de sectores, incluidos energía, servicios financieros, bienes raíces comerciales, alimentos, manufactura e incluso fabricación de muebles, revelaron investigadores del Centro de Defensa contra el Phishing de Cofense (PDC) en una publicación de blog publicada el miércoles.
La campaña utiliza una combinación de tácticas comunes e inusuales para atraer a los usuarios a hacer clic en una página que parece conducirlos a una encuesta de comentarios de los clientes sobre un servicio de eFax, pero en lugar de eso les roba sus credenciales.
Los atacantes se hacen pasar no sólo por eFax sino también por Microsoft mediante el uso de contenido alojado en múltiples páginas de microsoft.com en varias etapas del esfuerzo de múltiples etapas. La estafa es una de varias campañas de phishing que Cofense ha observado desde la primavera y que utilizan una táctica similar, dice Joseph Gallop, gerente de análisis de inteligencia de Cofense.
"En abril de este año, comenzamos a ver un volumen significativo de correos electrónicos de phishing utilizando enlaces de encuestas integrados de ncv[.]microsoft[.]com del tipo utilizado en esta campaña", le dice a Dark Reading.
Combinación de tácticas
Los correos electrónicos de phishing utilizan un señuelo convencional: afirman que el destinatario ha recibido un eFax corporativo de 10 páginas que exige su atención. Pero después de eso las cosas se desvían del camino trillado, explicó Nathaniel Sagibanda de Cofense PDC en el publicación del miércoles.
Lo más probable es que el destinatario abra el mensaje esperando que esté relacionado con un documento que necesita una firma. "Sin embargo, eso no es lo que vemos al leer el cuerpo del mensaje", escribió.
En cambio, el correo electrónico incluye lo que parece ser un archivo PDF adjunto y sin nombre que se entregó desde un fax que sí incluye un archivo real, una característica inusual de un correo electrónico de phishing, según Gallop.
"Si bien muchas campañas de phishing de credenciales utilizan enlaces a archivos alojados y algunas utilizan archivos adjuntos, es menos común ver un enlace incrustado que se hace pasar por un archivo adjunto", escribió.
La trama se complica aún más en el mensaje, que contiene un pie de página que indica que fue un sitio de encuestas, como los que se utilizan para proporcionar comentarios de los clientes, el que generó el mensaje, según la publicación.
Imitando una encuesta a un cliente
Cuando los usuarios hacen clic en el enlace, se les dirige a una imitación convincente de una página de solución de eFax representada por una página de Microsoft Dynamics 365 que ha sido comprometida por los atacantes, dijeron los investigadores.
Esta página incluye un enlace a otra página, que parece conducir a una encuesta de Microsoft Customer Voice para proporcionar comentarios sobre el servicio eFax, pero en lugar de eso lleva a las víctimas a una página de inicio de sesión de Microsoft que filtra sus credenciales.
Para mejorar aún más la legitimidad de esta página, el actor de amenazas llegó incluso a insertar un video de las soluciones de eFax para obtener detalles de servicios falsificados, indicando al usuario que se comunicara con "@eFaxdynamic365" si tenía alguna consulta, dijeron los investigadores.
El botón "Enviar" en la parte inferior de la página también sirve como confirmación adicional de que el actor de la amenaza utilizó una plantilla de formulario de comentarios de Microsoft Customer Voice real en la estafa, agregaron.
Luego, los atacantes modificaron la plantilla con “información falsa de eFax para incitar al destinatario a hacer clic en el enlace”, lo que conduce a una página de inicio de sesión falsa de Microsoft que envía sus credenciales a una URL externa alojada por los atacantes, escribió Sagibanda.
Engañar a un ojo entrenado
Si bien las campañas originales eran mucho más simples (incluían sólo información mínima alojada en la encuesta de Microsoft), la campaña de suplantación de identidad por eFax va más allá para reforzar la legitimidad de la campaña, dice Gallop.
Su combinación de tácticas de múltiples etapas y suplantación dual puede permitir que los mensajes se escapen a través de puertas de enlace seguras de correo electrónico y engañar incluso a los usuarios corporativos más inteligentes que han sido capacitados para detectar estafas de phishing, señala.
"Solo los usuarios que continúan revisando la barra de URL en cada etapa durante todo el proceso seguramente identificarán esto como un intento de phishing", dice Gallop.
Es verdad que la una encuesta de la empresa de ciberseguridad Vade también publicado el miércoles encontró que suplantación de marca sigue siendo la principal herramienta que utilizan los phishers para engañar a las víctimas para que hagan clic en correos electrónicos maliciosos.
De hecho, los atacantes adoptaron la personalidad de Microsoft con mayor frecuencia en campañas observadas en la primera mitad de 2022, según descubrieron los investigadores, aunque Facebook sigue siendo la marca más suplantada en campañas de phishing observadas en lo que va de año.
El juego de phishing sigue siendo fuerte
Los investigadores en este momento no han identificado quién podría estar detrás de la estafa, ni los motivos específicos de los atacantes para robar credenciales, dice Gallop.
El phishing en general sigue siendo una de las formas más fáciles y utilizadas por los actores de amenazas para comprometer a las víctimas, no sólo para robar credenciales sino también para difundir software malicioso, ya que el malware transmitido por correo electrónico es significativamente más fácil de distribuir que los ataques remotos, según el informe Vade. .
De hecho, este tipo de ataque experimentó aumentos mes tras mes durante el segundo trimestre del año y luego otro impulso en junio que hizo que “los correos electrónicos volvieran a alcanzar volúmenes alarmantes no vistos desde enero de 2022”, cuando Vade registró más de 100. millones de correos electrónicos de phishing en distribución.
"La relativa facilidad con la que los piratas informáticos pueden lanzar ciberataques a través del correo electrónico hace que el correo electrónico sea uno de los principales vectores de ataque y una amenaza constante para las empresas y los usuarios finales", escribió Natalie Petitto de Vade en el informe. "Los correos electrónicos de phishing se hacen pasar por las marcas en las que más confía, ofreciendo una amplia red de víctimas potenciales y un manto de legitimidad para los phishers que se hacen pasar por marcas".
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
