in

Los ciberataques persistentes afectan los sistemas de correo electrónico de IKEA


IKEA

IKEA está luchando contra un ciberataque en curso en el que los actores de amenazas apuntan a los empleados con correos electrónicos robados en cadena de respuesta en ataques internos de phishing.

Un ataque de correo electrónico en cadena de respuesta ocurre cuando los actores de amenazas roban el correo electrónico corporativo legítimo y luego les responden con enlaces a documentos maliciosos que instalan malware en los dispositivos de los destinatarios.

Debido a que los correos electrónicos de la cadena de respuesta son correos electrónicos corporativos legítimos y a menudo se envían desde cuentas de correo electrónico comprometidas y servidores internos, los destinatarios confían en el correo electrónico y es más probable que abran los documentos maliciosos.

IKEA frente a un ataque en curso

En los correos electrónicos internos de BleepingComputer, IKEA advierte a los empleados de un ataque de phishing en curso en los buzones de correo internos. Estos correos electrónicos también son enviados por otras organizaciones y socios comerciales de IKEA comprometidos.

“Hay un ciberataque en curso dirigido a los buzones de correo de Inter IKEA. Otras organizaciones, proveedores y socios comerciales de IKEA se ven comprometidos por el mismo ataque y continúan difundiendo correos electrónicos maliciosos a la gente de Inter IKEA ”, explicó un correo electrónico interno a los empleados de IKEA y visto por BleepingComputer.

«Esto significa que el ataque por correo electrónico podría provenir de alguien con quien trabaja, de una organización externa o en respuesta a una conversación en curso. Por lo tanto, es difícil de detectar, por lo que le pedimos que tenga especial cuidado».

Correo electrónico interno al personal de IKEA
Correo electrónico interno al personal de IKEA

Los equipos de TI de IKEA advirtieron al personal que los correos electrónicos de la cadena de respuesta tenían enlaces de siete dígitos al final y compartieron un correo electrónico de muestra como se muestra a continuación. Además, se indica a los empleados que no abran el correo electrónico, independientemente del remitente, y que lo informen al departamento de TI de inmediato.

También se indica a los destinatarios que utilicen el chat de Microsoft Teams para pedirle al remitente del correo electrónico que lo informe.

Ejemplo de correo electrónico de phishing enviado a empleados de IKEA
Ejemplo de correo electrónico de phishing enviado a empleados de IKEA

Los actores de amenazas comenzaron recientemente a comprometer los servidores internos de Microsoft Exchange mediante el uso de las vulnerabilidades ProxyShell y ProxyLogin para lanzar ataques de phishing.

Tan pronto como obtienen acceso a un servidor, utilizan los servidores internos de Microsoft Exchange para llevar a cabo ataques en cadena de respuesta contra empleados que utilizan correos electrónicos robados de la empresa.

Dado que los correos electrónicos se envían desde servidores internos comprometidos y cadenas de correo electrónico existentes, existe un mayor nivel de confianza en que los correos electrónicos no son maliciosos.

También existe el temor de que los destinatarios puedan liberar los correos electrónicos de phishing maliciosos de la cuarentena pensando que fueron atrapados accidentalmente en los filtros. Debido a esto, están desactivando la capacidad de los empleados para compartir correo electrónico hasta que se resuelva el ataque.

«Nuestros filtros de correo electrónico pueden identificar y poner en cuarentena algunos de los correos electrónicos maliciosos. Dado que el correo electrónico podría ser una respuesta a una conversación en curso, es fácil creer que el filtro de correo electrónico cometió un error y ha liberado el correo electrónico de la cuarentena. desactivó la posibilidad de que todos liberen los correos electrónicos de la cuarentena hasta nuevo aviso «, informó IKEA a los empleados.

Si bien IKEA no respondió a nuestros correos electrónicos sobre el ataque y no le dijo al personal si los servidores internos estaban comprometidos, parece que han sido afectados por un ataque similar.

Ataque para propagar troyanos Emotet o Qbot

BleepingComputer pudo identificar el ataque a IKEA en función de las URL publicadas en el correo electrónico de phishing redactado anteriormente.

Al visitar estas URL, un navegador es redirigido a una descarga llamada «charts.zip» que contiene un documento de Excel malicioso. Este apéndice indica a los destinatarios que hagan clic en los botones «Habilitar contenido» o «Habilitar edición» para verlo correctamente, como se muestra a continuación.

Archivo adjunto de Excel utilizado en la campaña de phishing
Archivo adjunto de Excel utilizado en la campaña de phishing

Una vez que se haga clic en estos botones, las macros maliciosas se ejecutarán y descargarán archivos llamados ‘besta.ocx’, ‘bestb.ocx’ y ‘bestc.ocx’ desde un sitio remoto y los guardarán en la carpeta C: Datop.

Estos archivos OCX se renombran a DLL y se ejecutan con el comando regsvr32.exe para instalar la carga útil del malware.

Campaña usando este método ha sido visto Instale el troyano Qbot (también conocido como QakBot y Quakbot) y posiblemente Emotet basándose en un envío de VirusTotal encontrado por BleepingComputer.

Los troyanos Qbot y Emotet ponen en riesgo la red y, en última instancia, conducen al uso de ransomware en una red atacada.

Debido a la gravedad de estas infecciones y al posible compromiso de sus servidores Microsoft Exchange, IKEA está tratando este incidente de seguridad como un ciberataque significativo que podría resultar en un ataque mucho más perturbador.



What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Pareja arrestada por instalar secretamente software de criptominería en computadoras de grandes almacenes

Este nuevo cargador de JavaScript sigiloso infecta las computadoras con malware