Notificaciones del Mail de voz de Microsoft Office usadas como señuelo en campaña de Phishing
Una nueva campaña dirigida de phishing usa las notificaciones del mail de voz de Microsoft como señuelo para engañar a los objetivos y que abran un HTML adjunto que redirige al landing page del atacante usando meta data.
Phishing es el tipo de ciber crimen donde el criminal trata de engañar a su objetivo para que le de información personal a través de sitios fraudulentos que el criminal controla. Para esto utilizan varias herramientas de ingeniería social, así como mensajes diseñados para lucir como si hubiesen sido mandados por una organización legítima o un contacto conocido.
Así como está detallado en la investigación compartida con BleepingComputer por la empresa de seguridad de correo electrónico Avanan, la campaña en operación manda spam a las potenciales víctimas con correos disfrazados de alertas de correo de voz de Microsoft Office 365.
Estos emails instruyen al objetivo a que abra el archivo adjunto para que puedan escuchar el mensaje de voz, mostrando el número del remitente y el largo del mail de voz en el mensaje para mirarse más convincente.
Redireción Meta Refresh
La víctima va a ser enviado al landing page que sirve para el phishing, a través de una técnica conocida de redirección que usa el elemento meta HTML con el valor de http-equiv que genera un set de atributos para “Refrescar” y el valor del contenido colocado en “1” para forzar un segundo de tiempo fuera.
Sin embargo, estos ataques a través de un URL intermediario diseñado para enviar a los objetivos a la landing page se diferencian de otras campañas previas que abusan del meta refresh. Los nuevos ataques utilizan el HTML adjunto en si mismo para generar la redirección.
El adjunto se abrirá en el navegador web por default del objetivo, transfiriendo a la victima a una landing page alojada en mototamburi.[com] un sitio WordPress comprometido a través de un URL acortado tinyw.in y usando el elemento meta incrustado al final del adjunto HTML para empezar el proceso de redirección.
“El HTML adjunto malicioso usa el meta refresh para redireccionar al usuario final desde un HTML adjunto hospedado localmente a una página de phishing hospedada en el internet público,” declara Avana. “Porque el hacker utiliza este refresh tag para ofuscar al URL, el analizador de links incrustados de Office 365 no detectan la amenaza.”
Recolectando credenciales de Office 365
Para recoger las credenciales de sus víctimas, los criminales han diseñado una copia de la página de “Sistema de manejo de correos de voz” de la que emerge una entrada para iniciar sesión y “autenticar al usuario”.
Esta forma de phishing pregunta a los objetivos para que entren en su correo usado en la cuenta de Microssoft y confirme la contraseña, la cual se recolecta y es enviada al servidor de control del atacante.
Correos de voz usados como herramienta para phishing
Durante finales de Enero, otra campaña de phishing fue observada por investigadores de EdgerWave mientras usaban correo de voz de RingCentral, que contenía falsas alertas para engañar potenciales víctimas y que estas entreguen sus credenciales.
Los mails tipo phishing que usan EML adjuntos para que los abran objetivos en Outlook hacen aún más fácil para los atacantes presionar para que estos abran los links incrustados.
También las landing page usadas para phishing preguntan a sus víctimas dos veces las credenciales, para asegurarse que son la correcta combinación.
Si recibes un mail con archivos adjuntos o links, asegúrate de que proviene del remitente antes de abrirlos.
Si no puedes hacer esto, y quieres hacer click en el enlace, siempre asegúrate de verificar que la URL no sea sospechosa.
Si ves algo inusual después de abrir el link, cierra el navegador web y no continúes. Los usuarios que han sido victimas del phishing y han entregado sus credenciales, deben cambiar inmediatamente sus claves en las cuentas que pudieron ser robadas.
Añadir nuevo comentario