Los sistemas de correo electrónico de IKEA afectados por un ciberataque en curso

IKEA está luchando contra un ciberataque continuo en el que los actores de amenazas apuntan a los empleados en ataques internos de phishing utilizando correos electrónicos de cadena de respuesta robados.

Un ataque de correo electrónico en cadena de respuesta ocurre cuando las amenazas roban el correo electrónico corporativo legítimo y luego responden con enlaces a documentos maliciosos que instalan malware en los dispositivos de los destinatarios.

Dado que los correos electrónicos de la cadena de respuesta son correos electrónicos comerciales legítimos y, por lo general, se envían desde cuentas de correo electrónico comprometidas y servidores internos, los destinatarios confiarán en el correo electrónico y es más probable que abran documentos maliciosos.

IKEA lidiando con un ataque en curso

En los correos electrónicos internos que muestra BleepingComputer, IKEA alerta a los empleados sobre un ataque de phishing en la cadena de respuesta en curso dirigido a los buzones de correo internos. Estos correos electrónicos también los envían otras organizaciones de IKEA y socios comerciales comprometidos.

"Hay un ataque cibernético en curso dirigido a los buzones de correo de Inter IKEA. Otras organizaciones, proveedores y socios comerciales de IKEA se han visto comprometidos por el mismo ataque y están difundiendo correos electrónicos maliciosos a la gente de Inter IKEA", dijo. Explicó un correo electrónico interno enviado a los empleados de IKEA. y visto por BleepingComputer.

"Esto significa que el ataque puede provenir por correo electrónico de alguien con quien trabaja, de cualquier organización externa, y como respuesta a conversaciones que ya están en curso. Por lo tanto, es difícil de detectar, por lo que le pedimos que sea más cauteloso".

Los equipos de TI de IKEA advierten a los empleados que los correos electrónicos de la cadena de respuesta contienen enlaces con siete dígitos al final y han compartido un correo electrónico de muestra, como se muestra a continuación. Además, se les pide a los empleados que no abran los correos electrónicos, independientemente de quién los haya enviado, y que los informen de inmediato al departamento de TI.

También se les dice a los destinatarios que le digan al remitente de los correos electrónicos a través del chat de Microsoft Teams que informe los correos electrónicos.

Ejemplo de correo electrónico de phishing enviado a empleados de IKEA
Ejemplo de correo electrónico de phishing enviado a empleados de IKEA

Los actores de amenazas comenzaron recientemente a comprometer los servidores internos de Microsoft Exchange mediante el uso de las vulnerabilidades ProxyShell y ProxyLogin para realizar ataques de phishing.

Una vez que obtienen acceso a un servidor, utilizan los servidores internos de Microsoft Exchange para realizar ataques en cadena de respuesta contra los empleados que utilizan el correo electrónico corporativo robado.

Dado que los correos electrónicos se envían desde servidores internos comprometidos y cadenas de correo electrónico existentes, existe un mayor nivel de confianza en que los correos electrónicos no son maliciosos.

Aunque IKEA no respondió a nuestros correos electrónicos sobre el ataque y no reveló a los empleados si los servidores internos estaban comprometidos, parece que están sufriendo un ataque similar.

Ataque utilizado para propagar el troyano Emotet o Qbot

A partir de las URL compartidas en el correo electrónico de phishing oculto anterior, BleepingComputer pudo identificar el ataque que tenía como objetivo a IKEA.

Al visitar estas URL, un navegador será redirigido a una descarga llamada "charts.zip" que contiene un documento de Excel malicioso. Este archivo adjunto indica a los destinatarios que hagan clic en los botones "Habilitar contenido" o "Habilitar edición" para verlo correctamente, como se muestra a continuación.

Archivo adjunto de Excel utilizado en la campaña de phishing
Archivo adjunto de Excel utilizado en la campaña de phishing

Después de hacer clic en estos botones, se ejecutarán macros maliciosas que descargarán archivos llamados "besta.ocx", "bestb.ocx" y "bestc.ocx" desde un sitio remoto y los guardarán en la carpeta C: Datop.

Estos archivos OCX se renombran como DLL y se ejecutan con el comando regsvr32.exe para instalar la carga útil del malware.

Campañas que utilizan este método han sido vistos instalando el troyano Qbot (también conocido como QakBot y Quakbot) y posiblemente Emotet basado en un envío de VirusTotal encontrado por BleepingComputer.

Los troyanos Qbot y Emotet conducen a un mayor compromiso de la red y, en última instancia, a la distribución de ransomware a través de una red pirateada.

Debido a la gravedad de estas infecciones y al probable compromiso de sus servidores Microsoft Exchange, IKEA está tratando este incidente de seguridad como un ciberataque significativo que podría conducir a un ataque mucho más destructivo.

5/5 - (1 voto)
Subir
DiarioInforme utiliza cookies    Configurar y más información
Privacidad