Campaña de phishing Office 365 contiene tácticas innovadoras de evasión

18 Noviembre 2020
Informativo

Microsoft está rastreando una campaña de phishing de Office 365 en curso que utiliza varios métodos para evadir el análisis automatizado en ataques contra objetivos empresariales.

"Estamos rastreando un ataque de phishing de credenciales activo dirigido a empresas que utilizan múltiples métodos sofisticados para la evasión de la defensa y la ingeniería social. La campaña utiliza señuelos oportunos relevantes para el trabajo remoto, como actualizaciones de contraseñas, información de conferencias, tickets de asistencia técnica, etc." dijo Microsoft.

Redireccionamiento automático a dominios legítimos

Una de las tácticas de evasión utilizadas en este ataque de robo de credenciales es el uso de URL de redireccionamiento con la capacidad de detectar conexiones entrantes desde ambientes sandbox que los investigadores de seguridad suelen utilizar para obtener más información sobre el ataque.

Una vez que se detecta dicha conexión, el redirector pasará de enviar a las víctimas potenciales a una página de inicio de phishing a redirigir cualquier intento de análisis automatizado a sitios legítimos.

Esto permite a los phishers asegurarse de que sus páginas de phishing solo sean visitadas por usuarios reales, lo que reduce drásticamente la posibilidad de que se bloqueen sus ataques y aumenta las probabilidades de que personas reales sean atraídas a sus sitios de phishing.

Los correos electrónicos de phishing utilizados en esta campaña también están muy ofuscados para garantizar que las puertas de enlace de correo electrónico seguras no puedan detectar los mensajes maliciosos y bloquearlos automáticamente antes de que lleguen a las bandejas de entrada de los objetivos.

Subdominios personalizados

Esta campaña también está generando subdominios personalizados para usar con sitios de redireccionamiento para cada uno de los objetivos como método para hacer que las URL de phishing sean más creíbles a los ojos de los objetivos y así aumentar la tasa de éxito de los ataques.

Estos subdominios se crean utilizando varios formatos, pero por lo general contendrán:

  • El nombre de usuario del objetivo
  • El nombre de dominio de su organización.

"Este subdominio único se agrega a un conjunto de dominios base, generalmente sitios comprometidos", explicó Microsoft .

Los principales patrones de phishing para aumentar la probabilidad de que los objetivos cedan y hagan clic en las URL incrustadas en cada correo electrónico son:

  • "Actualización de contraseña"
  • "Protección de Exchange"
  • "Helpdesk- #"
  • "SharePoint"
  • "Proyectos_comunicación"

Panorama

Los ciberactores han demostrado una vez mas la capacidad de generar tácticas innovadoras de evasión, todo esto con el objetivo de lograr con éxito la acción de ocultar sus intenciones maliciosas y engañar incluso a los usuarios expertos en seguridad.

En estos casos, la formación y la concienciación es la mejor forma de prevenir los ataques de phishing. En base a esto, las organizaciones deben permanecer atentas y adaptar sus estrategias en respuesta a estos cambios.

Es en este mismo escenario Microsoft se alza como la marca más suplantada en los ataques phishing durante el tercer trimestre de 2020. Según datos recopilados por Check Point, el gigante informático acapara el 19% de ciberataques.

El Centro de Ciberinteligencia de Entel recomienda lo siguiente:

  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
  • Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
  • Ingresa a los sitios oficiales de la institución a la que estás afiliado, realiza todos tus trámites desde allí, es más seguro que utilizar algún enlace en el correo, WhatsApp o SMS.
  • No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
  • No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.

Tags: #Office-365 #Phishing #Señuelos #Campaña #Microsoft


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.