Los piratas informáticos intentan robar datos de inicio de sesión de la cuenta de Microsoft utilizando una estafa inteligente de Google Drive
Algunas credenciales de inicio de sesión son más valiosas que otras, y no es sorprendente que los ataques de phishing dirigidos a las cuentas importantes tienden a ser mucho más sofisticados y bien pensados. En enero, los investigadores de Check Point se toparon con una campaña de phishing, sobre la cual solo escribieron el martes, y nos mostraron lo difícil que puede ser detectar los ataques bien diseñados.
Table of Contents
Los estafadores intentaron robar las credenciales de Office 365 de los usuarios con un inteligente ataque de phishing
Los correos electrónicos se enviaron a los empleados de organizaciones que usan Office 365. Primero, el mensaje redirigiría a la víctima a un archivo PDF alojado en la nube que contenía un enlace, supuestamente conduciendo a un documento compartido en el que está interesado el empleado. El enlace redirigió a lo que parece una página de inicio de sesión de SharePoint que le pidió al usuario que inicie sesión. Podrían hacerlo con sus credenciales de Office 365 o con su ID de organización. Cualquiera que sea la opción que elijan, aparecerá una ventana emergente con un formulario de inicio de sesión de Microsoft de aspecto convincente, y cualquier información que ingresen se enviará directamente a los delincuentes.
Si revisa las capturas de pantalla de Check Point, verá que los errores gramaticales y ortográficos que solemos asociar con los ataques de phishing no se ven por ningún lado. El formato es casi exactamente el mismo que el original, y durante toda la operación, los usuarios pueden ser fácilmente engañados de que realmente están a punto de iniciar sesión en sus cuentas de Microsoft. Además, una vez que ingresan sus credenciales de inicio de sesión, son redirigidos a un informe genuino de una firma de consultoría global, lo que podría hacer que todo sea aún más creíble. Esto no es lo único que hace que este ataque se destaque del resto.
Los phishers utilizaron ampliamente los servicios en la nube de Google
El primer PDF que vieron las víctimas fue alojado en Google Drive. La página suplantadora de SharePoint a la que se vinculaba también se había subido a los servicios de alojamiento en la nube de Google, al igual que el formulario de inicio de sesión malicioso.
Obviamente, ver una página de inicio de sesión de Microsoft alojada en una infraestructura propiedad de Google no es normal, pero los estafadores sabían que pocos usuarios tienden a prestar mucha atención a la barra de direcciones cuando ingresan sus credenciales de inicio de sesión. También sabían que los que lo hacen son menos propensos a sospechar si ven un dominio que reconocen.
Al utilizar los servicios de Google, los phishers también logran evitar un escrutinio minucioso tanto de las herramientas automatizadas como de los administradores del sistema que monitorean las actividades de los empleados. Con todo, el uso de la nube de Google hizo que el ataque sea mucho más probable que tenga éxito.
El ataque fue organizado por un grupo de phishers experimentados.
El nivel de sofisticación demostrado por los phishers no debería ser tan sorprendente teniendo en cuenta cuánta experiencia tienen. Poco después de descubrir el ataque, los investigadores notificaron a Google, y las páginas maliciosas fueron retiradas. Sin embargo, antes de que se desconectaran, los expertos de Check Point revisaron el código fuente y notaron que aunque las páginas estaban alojadas en la nube de Google, la mayoría de los recursos se cargaban desde prvtsmtp [.] Com, un dominio externo.
El dominio apuntaba a un servidor ucraniano que se ha utilizado en bastantes campañas de phishing. Primero, alojó las páginas maliciosas, y luego fue parte de la infraestructura durante los ataques que utilizaron los servicios en la nube Azure de Microsoft.
Los investigadores de Check Point ayudaron a poner fin al ataque que descubrieron en enero, pero es poco probable que detengan al experimentado grupo de phishers que lo respaldan definitivamente. Solo el tiempo dirá cuál será el próximo movimiento de los ciberdelincuentes. Mientras tanto, los empleados de todo el mundo deben tener especial cuidado en dónde y cuándo ingresan sus credenciales de inicio de sesión.
