Las búsquedas de Google revelan las credenciales de la empresa robadas - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Las búsquedas de Google revelan las credenciales de la empresa robadas

Hola otra vez. Te habla Eduardo Arroyo y en esta ocasión te voy a contar sobre Las búsquedas de Google revelan las credenciales de la empresa robadas

Las búsquedas de Google revelan las credenciales de la empresa robadas

Una campaña de phishing falsifica las notificaciones de Xerox para engañar a las víctimas para que hagan clic en archivos adjuntos HTML maliciosos.

Los investigadores encontraron que los atacantes detrás de una campaña de phishing descubierta recientemente dejaron involuntariamente más de 1,000 credenciales robadas disponibles Online a través de simples búsquedas en Google.

La campaña, que comenzó en agosto de 2020, utilizó correos electrónicos que falsifican las notificaciones de escaneo de Xerox para engañar a las víctimas para que hagan clic en archivos adjuntos HTML maliciosos, según un informe de Check Point Research publicado el jueves.

Check Point se asoció con una empresa de seguridad Otorio para descubrir la campaña, que logró eludir el filtro Advanced Threat Protection (ATP) de Microsoft Office 365 para robar más de 1,000 credenciales corporativas, dijeron los investigadores.

Si bien esto es y en sí mismo no es atípico de las campañas de phishing, los atacantes cometieron un «simple error en su cadena de ataques» que dejó las credenciales robadas expuestas a la «Internet pública, a través de docenas de servidores de caída». áreas utilizadas por los atacantes «, dijeron los investigadores.

Las credenciales suelen ser las joyas de la corona de un ataque, algo que los actores de amenazas se guardan para sí mismos para poder venderlas en la web oscura con fines de lucro o usarlas para sus propios propósitos nefastos.

Sin embargo, en esta campaña, «con una simple búsqueda en Google, cualquiera podría haber encontrado la contraseña de una de las direcciones de correo electrónico comprometidas y robadas, un regalo para todos los atacantes oportunistas», escribieron los investigadores.

Esto se debe a que los atacantes almacenaron las credenciales robadas en páginas web designadas en servidores comprometidos, dijo Lotem Finkelsteen, jefe de inteligencia de amenazas de Check Point Software. Sin embargo, dado que Google indexa constantemente Internet, el motor de búsqueda también ha indexado estas páginas, poniéndolas a disposición de cualquiera que haya solicitado una dirección de correo electrónico robada de Google.

«Los atacantes no pensaron que si podían rastrear esas páginas en Internet, Google también», dijo Finkelsteen en un comunicado enviado por correo electrónico. «Esta fue una clara falla de seguridad de la operación para los atacantes».

Las organizaciones a las que se dirigió la campaña abarcaron una variedad de sectores, incluidos el comercio minorista, la fabricación, la atención médica y las tecnologías de la información, con un interés especial en las empresas de energía y construcción, señalaron los investigadores. También hubo evidencia de que la campaña no es el primer rodeo de los atacantes, ya que los correos electrónicos y la codificación de JavaScript utilizados en los ataques estaban relacionados con una campaña de phishing en mayo de ese año, dijeron.

La campaña comenzó con un correo electrónico que usaba una de varias plantillas de phishing que imitaban una notificación de Xerox con el nombre o título de la empresa del objetivo en el asunto. El correo electrónico incluía un archivo HTML que, una vez que se hacía clic, solicitaba al usuario una página de inicio de sesión similar a Xerox.

«Después de que se lanzó el archivo HTML, se estaba ejecutando un código JavaScript en segundo plano en el documento», escribieron los investigadores. «El código era responsable de simples comprobaciones de contraseñas, enviaba datos al servidor de zona de caída de los atacantes y redirigía al usuario a una página de inicio de sesión legítima de Office 365».

Los servidores de la zona de caída utilizados por la campaña eran docenas de sitios web de WordPress que alojaban páginas PHP maliciosas y procesaban todas las credenciales entrantes de víctimas de phishing, dijeron los investigadores.

«Con una infraestructura especializada, el servidor funcionaría durante unos dos meses con docenas de dominios XYZ», señalaron. «Estos dominios registrados se han utilizado en ataques de phishing».

La campaña no solo eludió Microsoft 365 ATP, sino también la mayoría de las protecciones antivirus gracias a su simple uso de servidores comprometidos. Los atacantes también refinaron y refinaron continuamente su código para crear «una experiencia más realista de modo que las víctimas fueran menos propensas a despertar sus sospechas y más propensas a proporcionar sus credenciales de inicio de sesión», anotaron los investigadores.

Los investigadores brindaron el consejo habitual a las personas para evitar ser engañados por las campañas de phishing, como recordarles que revisen cuidadosamente los dominios, sean escépticos con los remitentes desconocidos, lo piensen dos veces antes de aceptar una «oferta especial» y usen contraseñas. diferente para diferentes cuentas Online. De hecho, el último punto en particular sigue siendo un error común cometido incluso por el usuario de Internet más experimentado, según la investigación.

.

Recuerda compartir en tu Facebook para que tus colegas lo consulten

??? ? ? ???

Comparte