Campaña de phishing evasivo de Office 365 activa desde julio de 2020

Microsoft dice que una campaña de spear-phishing altamente evasiva de un año se dirigió a los clientes de Office 365 en múltiples oleadas de ataques a partir de julio de 2020.

La campaña de phishing en curso engaña a los objetivos para que entreguen sus credenciales de Office 365 utilizando archivos adjuntos XLS.HTML con temas de facturas y diversa información de posibles víctimas, como direcciones de correo electrónico y logotipos de empresas.

Esto sugiere que los actores de amenazas recopilan datos sobre sus objetivos en una fase de reconocimiento del ataque, lo que aumenta la efectividad de la campaña a través de la ingeniería social.

"El objetivo principal de esta campaña es recopilar nombres de usuario, contraseñas y, en su versión más reciente, otra información como dirección IP y ubicación, que los atacantes utilizan como punto de entrada inicial para posteriores intentos de infiltración", Microsoft 365 Defender Threat Intelligence Equipo explicado.

Evolución de las tácticas de evasión

Sin embargo, esta serie de ataques se distingue de los demás por los esfuerzos constantes de los atacantes por ofuscar sus propios correos electrónicos de phishing para evadir las soluciones de seguridad del correo electrónico.

"En el caso de esta campaña de phishing, estos intentos incluyen el uso de mecanismos de encriptación y ofuscación multinivel para tipos de archivos conocidos, como JavaScript. La ofuscación multinivel en HTML también puede eludir las soluciones de seguridad del navegador", dijo. Microsoft agregó.

Los archivos adjuntos xls.HTML o xslx.HTML incluidos con estos correos electrónicos de phishing se dividen en varios segmentos codificados con diferentes métodos para parecer inofensivos y evitar las comprobaciones de seguridad del correo electrónico.

Métodos de codificación de la línea de tiempo
Cronología de los métodos de codificación (Microsoft)

Como reveló Microsoft, los segmentos entregados a las bandejas de entrada de destino con correos electrónicos de spear-phishing incluyen:

  • Segmento 1: dirección de correo electrónico del objetivo
  • Segmento 2 - Logotipo de la organización del usuario objetivo a partir del logotipo[.]clearbit[.]com, yo[.]gyazo[.]com, o abejas[.]statvoo[.]com; si el logotipo no está disponible, este segmento carga el logotipo de Microsoft Office 365 en su lugar.
  • Segmento 3: un script que carga una imagen de un documento borroso, lo que indica que el acceso presumiblemente ha expirado.
  • Segmento 4: un script que solicita al usuario que ingrese su contraseña, envía la contraseña ingresada a un kit de phishing remoto y muestra una página falsa con un mensaje de error para el usuario.

Durante la campaña, los atacantes modificaron los mecanismos de codificación para seguir evadiendo la detección, utilizando diferentes métodos para cada segmento y cambiando entre HTML plano, escape, caracteres Base64, ASCII e incluso código Morse.

Si se engaña a los objetivos para que inicien el archivo adjunto malicioso, se mostrará un cuadro de diálogo de inicio de sesión de Office 365 falso en un documento de Excel borroso en el navegador web predeterminado de la víctima.

Este cuadro de inicio de sesión, que también presenta las direcciones de correo electrónico de los objetivos y el logotipo de su empresa, les pide que vuelvan a ingresar sus contraseñas para acceder al documento borroso porque supuestamente se agotó el tiempo de espera de su sesión de inicio de sesión.

Si el objetivo ingresa su contraseña, un script mostrará inmediatamente una advertencia de que la contraseña enviada es incorrecta y enviará la contraseña y otros datos de usuario recopilados al kit de phishing del atacante.

Cuadro de diálogo Phishing de credenciales de Office 365
Cuadro de diálogo de phishing de credenciales de Office 365 (Microsoft)

"Durante nuestra investigación de un año [this] En la campaña de phishing XLS.HTML con temática de facturas, los atacantes cambiaron los mecanismos de ofuscación y encriptación en promedio cada 37 días, demostrando una alta motivación y capacidad para evadir constantemente la detección y mantener en funcionamiento la operación de robo de credenciales ", agregó Microsoft.

"Esta campaña de phishing ejemplifica la amenaza de correo electrónico moderna: sofisticada, evasiva y en constante cambio".

Microsoft también advirtió en marzo de una operación de phishing que ha robado unas 400.000 credenciales de OWA y Office 365 desde diciembre de 2020 y se ha expandido para abusar de nuevos servicios legítimos para evitar las pasarelas de correo electrónico seguras (SEG).

La compañía también alertó a los suscriptores de ATP de Microsoft Defender a fines de enero de un número creciente de ataques de phishing de consenso (también conocidos como phishing de OAuth) dirigidos a trabajadores remotos.

Descubre más contenido

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir Change privacy settings