Los cebos de Microsoft ocupan la mitad de los correos electrónicos de phishing por deslizamiento de credenciales - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Los cebos de Microsoft ocupan la mitad de los correos electrónicos de phishing por deslizamiento de credenciales

Hola de nuevo. Soy Eduardo Arroyo y esta vez te voy a contar sobre Los cebos de Microsoft ocupan la mitad de los correos electrónicos de phishing por deslizamiento de credenciales

Los cebos de Microsoft ocupan la mitad de los correos electrónicos de phishing por deslizamiento de credenciales

A medida que más organizaciones migran a Office 365, los ciberdelincuentes utilizan Outlook, Teams y otros señuelos de phishing con temas de Microsoft para desplazarse por las credenciales de usuario.

Casi la mitad de los ataques de phishing en 2020 tenían como objetivo el desplazamiento de credenciales utilizando cebos relacionados con Microsoft, desde la línea de servicios comerciales de Office 365 hasta su plataforma de colaboración Teams.

Según un informe del martes de Cofense, que analizó millones de correos electrónicos relacionados con varios ataques, el 57% eran correos electrónicos de phishing que tenían como objetivo robar nombres de usuario y contraseñas de las víctimas. El resto de los correos electrónicos maliciosos se utilizaron en ataques de compromiso de correo electrónico corporativo (BEC) o para la entrega de malware.

De estos correos electrónicos de phishing, el 45% tenían temas de Microsoft, dijeron los investigadores: los ciberdelincuentes confían en cebos con temas de Microsoft para sus correos electrónicos, así como también utilizan páginas de inicio de phishing que falsifican o explotan dominios o servicios legítimos de Microsoft.

«Con la cantidad de organizaciones que migran a Office 365, seleccionar estas credenciales permite que el actor de amenazas obtenga acceso a la organización como un usuario legítimo para pasar desapercibido», dijeron los investigadores de Cofense a Threatpost. Agregaron que “recomiendan encarecidamente habilitar a las organizaciones [multi-factor authentication] junto con el de ellos [Office 365] migración / implementación. «

Los cebos de correo electrónico maliciosos pueden variar; podría ser un simple aviso de SharePoint «Joe quiere compartir un documento con usted» que normalmente vería de Microsoft, explicaron los investigadores, o podría ser un simple archivo adjunto que incluye un enlace a un sitio web que pide a los usuarios que inicien sesión con Credenciales de Microsoft.

Una campaña de phishing en octubre fingió ser un mensaje automatizado de Microsoft Teams que les decía a las víctimas que habían perdido un chat de Teams. En realidad, el ataque tenía como objetivo robar las credenciales de inicio de sesión de los destinatarios de Office 365.

Ejemplos de señuelos de phishing de Microsoft. Crédito: Cofense

Otro ataque en diciembre utilizó URL incrustadas que redirigían a páginas falsas de phishing de Microsoft Office 365 nunca antes vistas. El ataque comenzó con correos electrónicos que se hacían pasar por empresas como eFax, un servicio de fax por Internet que permite a los usuarios recibir faxes por correo electrónico o Online.

«Veamos también [cybercriminals] dando al usuario una opción de las plataformas de correo electrónico más comúnmente utilizadas «, dijeron los investigadores.» Los correos electrónicos de phishing a menudo contienen URL alojadas en dominios legítimos que mantienen una gran base de consumidores para evitar ser bloqueados por reglas y filtros de contenido «.

Según los investigadores, más del 45% de los ataques de phishing de robo de credenciales dirigidos a Microsoft, la siguiente categoría era «genérica», lo que significa que no había una marca específica asociada con el correo electrónico o la página de destino, pidiendo al destinatario que inicie sesión.

Sin embargo, además de los servicios de colaboración de confianza de Microsoft como SharePoint, OneDrive u Office 365, los investigadores dijeron que vieron otros productos de proveedores de servicios en la nube explotados en los ataques. Esto incluye Google (como Google Forms), Adobe y los servicios para compartir archivos.

«Otras marcas famosas que observamos que pedían credenciales fueron otros servicios de alojamiento en la nube como Adobe, Dropbox, Box, DocuSign o WeTransfer», dijeron los investigadores a Threatpost. «Los actores de amenazas pudieron rastrear Internet en busca de sitios web para compartir archivos que se consideraran ‘relacionados con el negocio’ para pasar verificaciones de pasarelas de correo electrónico seguras, así como filtros de proxy web».

Los investigadores encontraron que casi el 17% de los correos electrónicos identificados como maliciosos estaban relacionados con una transacción financiera.

Varias industrias afectadas por diferentes ataques de correo electrónico. Crédito: Cofense

Muchos de estos correos electrónicos de phishing pueden incluir facturas y transacciones necesarias para el trabajo. Un ejemplo reciente de un ataque de este tipo, por ejemplo, involucró correos electrónicos con temas de facturas enviados a al menos 20,000 buzones de correo que afirman compartir información sobre un pago de transferencia electrónica de fondos (EFT). Los correos electrónicos encontrados a principios de este mes contenían un asunto bastante sencillo, «PAGO DE TRANSFERENCIA PARA AVISO DE FACTURA» y contienen un enlace para descargar una «factura» de la nube.

Estos tipos de ataques funcionan porque «los equipos financieros están bajo una presión extrema para procesar facturas y pagos de manera oportuna para mantener el negocio en funcionamiento, especialmente durante el final del mes o trimestre cuando los informes financieros son críticos», dijeron los investigadores. «Entonces, si un usuario no ha escuchado nada sobre el correo electrónico que informó, lo más probable es que interactúe con ese mensaje».

Los investigadores descubrieron que en 2020 el dropper GuLoader se convirtió en un importante mecanismo de entrega de malware en los ataques por correo electrónico.

El malware, que apareció por primera vez en el primer trimestre y aumentó durante el segundo trimestre de 2020, se utiliza para entregar herramientas de administración remota, registradores de pulsaciones, ladrones de credenciales y otros fenotipos de malware.

Estadísticas rápidas. Click para agrandar. Crédito: Cofense

Por ejemplo, se descubrió una campaña de correo electrónico de junio para empleados de nivel medio en Austria, Alemania y Suiza con archivos adjuntos maliciosos de Excel. Una vez abiertos y con las macros habilitadas, los archivos adjuntos de Microsoft Excel se descargarán y ejecutarán GuLoader, que a su vez descarga y ejecuta el ransomware Hakbit.

Las técnicas avanzadas del malware lo convierten en una herramienta rentable para que los ciberdelincuentes la utilicen para evadir las detecciones de seguridad de la red y del correo electrónico. Por ejemplo, el malware contiene instrucciones de código falsas diseñadas para obstruir las herramientas de análisis y una amplia gama de trucos para evitar la ejecución en entornos virtuales o sandboxes, dijeron los investigadores. Los atacantes detrás del malware también almacenan sus cargas útiles maliciosas en plataformas en la nube como Google Drive o Microsoft OneDrive, que debido a que son servicios legítimos, a menudo no se bloquean.

«Aunque GuLoader es un ejecutable, normalmente se distribuye a través de documentos de oficina armados que están diseñados para eludir los controles de seguridad y descargar malware directamente desde el sistema informático de la víctima», dijeron los investigadores. «La continua evolución de GuLoader de sofisticadas técnicas de entrega y ejecución lo hace cada vez más útil para entregar amenazas».

Guarde su asiento para «,» los ciberdelincuentes cuentan con usted para cometer estos errores, pero nuestros expertos lo ayudarán a bloquear su pequeña y mediana empresa como si fuera una Fortune 100. Regístrese AHORA para este seminario web el miércoles de febrero. 24.

.

No te olvides compartir en en tu Twitter y Facebook para que tus amigos lo disfruten

??? ? ? ???

Comparte