in

75.000 bandejas de entrada de correo electrónico impactadas en una nueva campaña de phishing de credenciales



Aproximadamente 75,000 bandejas de entrada de correo electrónico se han visto afectadas por lo que parecen ser campañas de phishing de correo electrónico de recopilación de credenciales hasta la fecha.

Los investigadores de seguridad de Armorblox informaron esta semana haber observado el ataque a los sistemas de los clientes en los entornos de Office 365, Microsoft Exchange y Google Workspace. En muchos ataques, los actores de la amenaza apuntaron a pequeños grupos de personas de diferentes departamentos dentro de una organización en un intento de pasar desapercibidos. Las audiencias de la campaña incluyen el director financiero de una empresa, un vicepresidente senior de finanzas y operaciones en una empresa de bienestar, un director de operaciones y un profesor.

Abhishek Iyer, director de marketing de productos de Armorblox, dice que hay poca evidencia de que los atacantes persigan una industria en particular. Sin embargo, hasta ahora, los ataques han afectado a los clientes de Armorblox en varias industrias, incluida la energía, el gobierno local, la educación superior, el software y la ingeniería eléctrica.

Iyer dice que los ataques a individuos parecen dirigidos dentro de las organizaciones. Las víctimas representan una buena combinación de empleados senior y regulares de toda la empresa.

“Es poco probable que estos empleados se comuniquen con frecuencia cuando reciben un correo electrónico sospechoso”, dice Iyer. «Esto aumenta la probabilidad de que alguien sea víctima del ataque».

El phishing sigue siendo una de las tácticas más comunes utilizadas por los actores de amenazas para afianzarse en una red objetivo. Si bien el phishing es quizás uno de los primeros vectores de ataque mejor comprendidos, las organizaciones han luchado para combatir la amenaza ya que los usuarios individuales continúan siendo vulnerables a los correos electrónicos de phishing.

En muchos casos, los atacantes también se han vuelto mucho más sofisticados en la creación de señuelos de phishing y han comenzado a combinar cada vez más el phishing por correo electrónico con el phishing basado en SMS (smshing) y el phishing basado en voz o teléfono (vishing). Según el Grupo de Trabajo Anti Phishing (APWG), la actividad de phishing se duplicó en 2020 y se ha mantenido en un nivel constante pero alto en la primera mitad de este año. Según APWG, solo en junio de 2021 se observaron 222,127 ataques de phishing, lo que lo convierte en el tercer peor mes en el historial de informes de la organización. Las instituciones financieras y los sectores de redes sociales fueron los más objetivo en el último trimestre.

El ataque que Armorblox informó esta semana involucró el uso de un cebo que simulaba una notificación de mensaje cifrado del proveedor de seguridad y cifrado de correo electrónico Zix. Si bien la notificación no era idéntica a una notificación legítima de Zix, era lo suficientemente similar a la original para que los destinatarios crearan que habían recibido un correo electrónico válido. El dominio desde el que los atacantes enviaban el correo electrónico malicioso pertenecía a una organización religiosa fundada en 1994 y probablemente sea una versión obsoleta o antigua del dominio principal de la organización.

Dominio legítimo
«Si pudiéramos encontrar una única razón para que el correo electrónico eluda los controles de seguridad existentes, sería utilizar un dominio legítimo para enviar el correo electrónico», señala Iyer. «Esto permitió que el correo electrónico pasara por alto todas las comprobaciones de autenticación». El resto de la campaña, como la mayoría de las estafas de phishing, se basó en la marca y la ingeniería social para engañar a los usuarios para que hicieran clic en la notificación falsa de Zix.

En los ataques observados por Armorblox, el actor de amenazas parece haber evitado deliberadamente atacar a varios empleados en un solo departamento. En cambio, parecen haber seleccionado a sus víctimas de varios departamentos para aumentar la probabilidad de que alguien se enamore del correo electrónico malicioso.

«Los objetivos están lo suficientemente aislados, según el departamento o la jerarquía, como para no discutir los correos electrónicos sospechosos entre sí», dice Iyer. “Como ocurre con la mayoría de los ataques de phishing, hay pocas novedades sobre las tácticas que utilizan los actores de amenazas. “Lo interesante de los ataques de correo electrónico exitosos es que rara vez usan TTP nunca antes vistos para hacer daño”, dice.

Desde la perspectiva de los controles de seguridad, agrega, es importante que las empresas admitan los controles de seguridad del correo electrónico nativo con comportamiento, lenguaje, comunicación y otros patrones que puedan identificar mejor un intento de phishing.

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Cómo la (mala) gestión secreta es la próxima gran amenaza de ciberseguridad: descargue el informe 1Password • Graham Cluley

Error de Atlassian Confluence RCE abusado en múltiples campañas de ciberataques