Campaña de phishing suplanta mensajes de SharePoint

Recientes investigaciones de la firma Abnormal Security han evidenciado que ciberdelincuentes están suplantando mensajes automáticos de la plataforma colaborativa de SharePoint, para enviar correos electrónicos de phishing con la finalidad de filtrar las credenciales de Office 365 de los usuarios.

Campaña de phishing

La firma indica que el correo electrónico usado en la campaña no está dirigido a ninguna entidad o persona en particular, sino más bien que está destinado a generar una amplia red de phishing para la obtención de las credenciales de los empleados.

Correo

El contenido del cuerpo del correo es breve y disfraza el remitente haciéndolo parecer que es enviado desde la plataforma SharePoint, también hace uso de mensajes similares a las notificaciones automáticas para compartición de archivos de esta plataforma y además se puede apreciar el nombre de la empresa del destinatario varias veces, lo que lo hacer ver como un documento interno compartido por este servicio.

El mismo contiene un enlace que deriva finalmente en una página web maliciosa a través de múltiples redirecciones, donde se puede apreciar un portal similar al de un archivo seguro de SharePoint y además se aprecian logotipos de Microsoft haciéndolo parecer muy convincente, en este se proporciona un botón de descarga, y que al hacer clic en este, se redirecciona a un formulario de envío donde se solicita credenciales a la víctima, y que también muestra una opción de descarga de un archivo en formato PDF que redirige a otro sitio, indican los investigadores de la firma.

Con lo cual, los ciberdelincuentes apuestan a la probabilidad de que al menos un empleado sea víctima de la campaña, y si tienen éxito, poder hacer uso de las credenciales del mismo para actividades maliciosas, como la obtención de información confidencial de la organización almacenada en la cuenta de la víctima. Lo que coloca a los empleados y sus redes en un riesgo considerable puesto que los ciberdelincuentes pueden lanzar ataques internos para obtener más credenciales e información de su organización.

Panorama

Si bien esta técnica de phishing no es nueva ni novedosa, sigue siendo bastante efectiva y dañina, ya que a través de esta los ciberdelincuentes han logrado tener éxito en actividades más críticas y que en muchos casos han terminado en daño considerable para las organizaciones. Esta no sería la primera vez que se utiliza la plataforma colaborativa para este tipo de actividades maliciosas, en septiembre de 2019 se pudo evidenciar que también se hizo uso de SharePoint para actividades vinculadas con Phishing. Es por eso que las organizaciones deben tomar muy serio el problema del Phishing y tomar medidas de protección junto con sus usuarios y mitigar el riesgo que esta representa.

Estas campañas ilustran que el malware y las tácticas de los actores de amenazas no tienen que ser novedosas para encontrar el éxito, incluso en el panorama actual de amenazas que cambia rápidamente.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reduce las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.