El phishing de Office 365 abusa de los servicios en la nube de Oracle y Amazon


Un esquema de phishing bastante complejo para el robo de credenciales de Office 365 de pequeñas y medianas empresas en los EE. UU. Y Australia combina servicios en la nube de Oracle y Amazon en su infraestructura.

La campaña se ha estado ejecutando durante más de seis meses y utiliza una red de sitios web legítimos que se han visto comprometidos para funcionar como una cadena de proxy.

Cebo simple

Los operadores atraen a los destinatarios con notificaciones falsas para mensajes de voz e invitaciones de Zoom que, en última instancia, llevan a la víctima a la página de phishing mediante la recopilación de credenciales de inicio de sesión.

Empresa de ciberseguridad Mitiga afirma que, a pesar del simple atractivo y propósito, la campaña se destaca tan sofisticada como el camino hacia la exfiltración es a través de servicios y sitios web legítimos.

Según su investigación, el actor de amenazas envía mensajes de phishing desde cuentas de correo electrónico comprometidas y utiliza Amazon Web Services (AWS) y Oracle Cloud en la cadena de redireccionamiento.

"Una vez que se hace clic en el enlace, el usuario es redirigido a través de varios proxies, incluidos los balanceadores de carga de AWS, a un sitio web legítimo pero comprometido" - Ofir Rozmann, inteligencia de amenazas en Mitiga

Redirigir flujo

Posteriormente, las víctimas son redirigidas a un sitio web comprometido que las lleva a la página falsa de Office 365 alojada principalmente en el servicio Oracle Cloud Computing.

En algunos casos, el actor utilizó Amazon Simple Storage Service (Amazon S3). Las credenciales ingresadas en esta página se envían automáticamente a otro sitio web comprometido.

Mitiga afirma haber identificado más de 40 sitios web comprometidos que formaban parte de esta campaña de phishing de Office 365.

Las pistas apuntan al phishing como servicio

Las pistas encontradas en el código HTML de las páginas falsas de Office 365 sugieren que la infraestructura es parte de un negocio de phishing como servicio alquilado a varios clientes.

Prueba de ello son las declaraciones comentadas como "// Establecer enlace aquí" y pequeñas diferencias en las variables, nombres de funciones o sitios comprometidos que recibieron las credenciales robadas, lo que podría indicar que múltiples partes están utilizando la misma infraestructura.

Los investigadores también encontraron referencias a algunas regiones de Asia como Gagal (Irán), Kurang (India) y Kosong (Corea del Norte), así como palabras indonesias ("tombol" - botón, "tekan" - impresión, "kolom" - columna, "kirim" - enviar).

Estos podrían aludir a operadores de phishing como servicio o sus clientes. Sin embargo, también pueden ser falsas señales introducidas para engañar a los investigadores.

A partir de las direcciones de correo electrónico analizadas, Mitiga determinó que los objetivos de esta operación de phishing son predominantemente ejecutivos de nivel C en pequeñas y medianas empresas y las principales instituciones financieras.

Mitiga hace las siguientes recomendaciones para evitar ser víctima de estos ataques:

  • Habilite la autenticación de dos factores (2FA) para iniciar sesión en Office 365
  • Aplicar actualizaciones de contraseña de Office 365
  • Revise las reglas de reenvío en las cuentas de correo electrónico.
  • Busque carpetas ocultas en bandejas de entrada y mensajes en una ubicación diferente a la normal
  • Registra los cambios en el acceso y la configuración del buzón y retiene los datos durante al menos 90 días
  • Habilite alertas para actividades sospechosas, como inicios de sesión inusuales y escanee los registros del servidor en busca de accesos anormales al correo electrónico.
  • Considere la posibilidad de simular un escenario de ataque similar utilizando un equipo rojo para probar la conciencia de phishing de su organización

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir