- La seguridad en línea es solo relativa, una ilusión a los ojos de muchos expertos en seguridad.
- La firma de seguridad cibernética Zscaler sacó las tapas de una nueva campaña de phishing AiTM.
- Los objetivos son los usuarios de Microsoft Mail y estamos a punto de mostrarle cómo funciona.
Lea con mucha atención lo que vamos a escribir en este artículo, ya que nadie está a salvo de los atacantes y los métodos que están utilizando actualmente.
Para ser más específicos, los usuarios del servicio de correo electrónico de Microsoft deben estar realmente atentos porque Escalador Z, una empresa de investigación de ciberseguridad, acaba de descubrir una nueva campaña de phishing en curso dirigida a los usuarios de correo electrónico de Microsoft.
No es para asustarlo, pero, según la empresa, los usuarios corporativos están bajo ataque y la campaña se ejecuta utilizando la técnica de adversario en el medio (AiTM) para evitar la autenticación de múltiples factores.
La campaña de phishing utiliza el método AiTM para robar sus credenciales
Incluso el gigante tecnológico de Redmond reconoció este problema en julio cuando creó una entrada en el blog destinado a advertir a los usuarios sobre el peligro inminente.
Para ponerlo al día, esta técnica AiTM coloca a un adversario en el medio para interceptar el proceso de autenticación entre el cliente y el servidor.
No hace falta decir que, durante este intercambio, todas sus credenciales desaparecerán, ya que terceros maliciosos las obtendrán como resultado.
Y, como era de esperar, esto también significa que la información de MFA es robada. Por lo tanto, el adversario en el medio actúa como el servidor para el cliente real y el cliente para el servidor real.
| Nombre de dominio registrado por el atacante | Nombre de dominio legítimo de Federal Credit Union |
| crossvalleyfcv[.]org | crossvalleyfcu[.]org |
| triboro-fcv[.]org | triboro-fcu[.]org |
| ciudadfederalcv[.]com | ciudadfederalcu[.]com |
| puertoconnfcuu[.]com | portconnfcu[.]com |
| oufcv[.]com | oufcu[.]com |
Como explicaron los expertos en seguridad, esta campaña está diseñada específicamente para llegar a los usuarios finales en las empresas que utilizan los servicios de correo electrónico de Microsoft.
Recuerde que el compromiso del correo electrónico empresarial (BEC) sigue siendo una amenaza constante para las organizaciones y esta campaña destaca aún más la necesidad de protegerse contra tales ataques.
Estos son algunos de los puntos clave que han resumido los expertos en ciberseguridad, fruto del análisis de la amenaza que nos ocupa:
- Los usuarios corporativos de los servicios de correo electrónico de Microsoft son los principales objetivos de esta campaña de phishing a gran escala.
- Todos estos ataques de phishing comienzan con un correo electrónico enviado a la víctima con un enlace malicioso.
- La campaña está activa en el momento de la publicación del blog y el actor de amenazas registra nuevos dominios de phishing casi todos los días.
- En algunos casos, los correos electrónicos comerciales de los ejecutivos se vieron comprometidos mediante este ataque de phishing y luego se usaron para enviar más correos electrónicos de phishing como parte de la misma campaña.
- Se apunta a algunas de las industrias verticales clave, como FinTech, Préstamos, Seguros, Energía y Manufactura en regiones geográficas como EE. UU., Reino Unido, Nueva Zelanda y Australia.
- En estos ataques se utiliza un kit de phishing personalizado basado en proxy capaz de eludir la autenticación multifactor (MFA).
- El actor de amenazas aprovecha varias técnicas de encubrimiento y huellas dactilares del navegador para eludir los sistemas de análisis de URL automatizados.
- Se utilizan numerosos métodos de redirección de URL para evadir las soluciones de análisis de URL de correo electrónico corporativo.
- Se abusa de los servicios legítimos de edición de código en línea, como CodeSandbox y Glitch, para aumentar la vida útil de la campaña.
Según nuestro análisis de los correos electrónicos originales que utilizan el tema de Federal Credit Union, observamos un patrón interesante. Estos correos electrónicos se originaron en las direcciones de correo electrónico de los directores ejecutivos de las respectivas organizaciones federales de cooperativas de ahorro y crédito.
Permítanos mencionar también que algunos de los dominios registrados por los atacantes eran versiones con errores tipográficos de cooperativas de ahorro y crédito federales legítimas en los EE. UU.
Hoy en día, la línea entre la seguridad en línea y poner en peligro toda su operación es tan fina que necesitaría un microscopio atómico para verla.
Es por eso que siempre predicamos seguridad, lo que significa:
- Nunca descargue nada de fuentes aleatorias e inseguras.
- Nunca revele sus credenciales u otra información confidencial a nadie.
- No permita que personas en las que no confíe usen su PC.
- No abra enlaces recibidos en correos electrónicos que se originen en fuentes no confiables.
- Siempre software antivirus.
Depende de usted mantenerse a salvo en esta jungla en línea en constante cambio, así que asegúrese de tomar todas las medidas de seguridad que necesita para evitar un desastre.
¿Has recibido algún correo electrónico de este tipo últimamente? Comparta su experiencia con nosotros en la sección de comentarios a continuación.
![¿Puede el antivirus detectar el phishing? [Guía de prevención]](/f/f7cd85f8e58b419c47d4b6b379d151ed.png?width=300&height=460)