Se ha observado continuamente a varios atacantes que utilizan técnicas innovadoras con ataques de phishing para eludir las aplicaciones de seguridad estándar normales. Recientemente, se ha observado una nueva campaña que aprovecha una combinación de varios trucos para evitar la protección de Secure Email Gateways (SEG).
¿Qué se ha descubierto?
Según un informe de Cofense, la campaña de phishing tiene como objetivo recolectar las credenciales de Office365, disfrazadas como un correo electrónico de actualización de seguridad de Outlook del departamento de seguridad de TI, que podría eludir la capa SEG.
- En los correos electrónicos, el actor de la amenaza ha falsificado tanto al remitente como al nombre de la empresa. Dicho uso de la línea de asunto personalizada y la información del remitente aumenta la probabilidad de que los usuarios objetivo abran el PDF adjunto.
- El PDF contiene enlaces que dirigirían a las víctimas a un sitio web, que le pediría que descargue software malicioso en la máquina de la víctima o que el usuario ingrese sus credenciales.
- Para que el documento pareciera más legítimo, los atacantes utilizaron los logotipos de Microsoft y la empresa del destinatario e incluyeron detalles, como la fecha de lanzamiento.
- Además, utiliza una referencia del servicio de Google Ads que redirige a los usuarios a otro dominio hxxp: // ekavolunteers [.] Org, y luego a otro dominio que pretende ser la página de política de privacidad de Microsoft, diseñada para recolectar credenciales.
Ataques de phishing recientes en Office 365
Varios atacantes han intentado continuamente atraer a los usuarios del servicio de Office 365 a través de varias campañas de phishing.
- Hace unas semanas, se observó una campaña de phishing que pretendía ser la solución de autenticación de correo electrónico en línea de Zix, que tenía como objetivo a los usuarios de Office365 para robar sus credenciales. Logró llegar a 5,000 a 10,000 buzones de correo.
- Casi al mismo tiempo, Agencia de los Estados Unidos para los Medios Globales (USAGM) reveló una violación de datos después de ser víctima de un ataque de phishing en diciembre de 2020. El ataque permitió a un actor de amenazas acceder a la información personal de varios socios, almacenada en las cuentas de correo electrónico.
Conclusión
En esta campaña, los atacantes están utilizando varios trucos para engañar a los sistemas de seguridad automatizados y obtener acceso a las redes de la organización. Existe una gran necesidad de una estrategia de seguridad en constante evolución que también destaque la importancia de tener múltiples capas de seguridad para una protección sólida.