El mundo hiperconectado hace que sea más fácil que nunca para empresas y consumidores intercambiar documentos, aprobar transacciones y completar procesos financieros importantes con un solo clic. Las plataformas de firma electrónica y uso compartido de archivos digitales se utilizan ampliamente en la banca, el sector inmobiliario, los seguros y las operaciones comerciales cotidianas y se han vuelto esenciales para el rápido desarrollo de las organizaciones modernas. Sin embargo, esta comodidad también crea un vacío legal para los ciberdelincuentes.
Los investigadores de seguridad del correo electrónico de Check Point descubrieron recientemente una campaña de phishing en la que los atacantes se hacen pasar por servicios de intercambio de archivos y firma electrónica para enviar señuelos financieros que falsifican notificaciones legítimas.
En este incidente, los atacantes enviaron más de 40.000 correos electrónicos de phishing a aproximadamente 6.100 empresas en las últimas dos semanas. Todos los enlaces maliciosos han sido redirigidos. lo que aumentó la confianza al imitar los flujos de reenvío comunes.
Así funciona la campaña
Los atacantes han abusado de la función Secure Link Rewrite mimecastusándolo como tapadera para que sus enlaces parezcan seguros y autenticados. Dado que Mimecast Protect es un dominio confiable, esta técnica ayuda a que las URL maliciosas eviten los filtros automáticos y despierten sospechas en los usuarios.
Para aumentar la credibilidad, los correos electrónicos copiaban elementos visuales oficiales del servicio (logotipos de Microsoft y productos de Office), usaban encabezados, pies de página y botones de «revisar documento» similares a los de los servicios, y nombres para mostrar falsos como «X vía SharePoint (en línea)», «eSignDoc vía Y» y «SharePoint» que eran muy similares a los patrones de notificación auténticos.
Variante relacionada: Phishing al estilo DocuSign con un método de redireccionamiento diferente
Además de la gran campaña de SharePoint/eSignature, los investigadores también identificaron una operación más pequeña pero relacionada que imita las notificaciones de DocuSign. Al igual que el ataque principal, falsifica una plataforma SaaS confiable y utiliza una infraestructura de redireccionamiento legítima, pero la técnica utilizada para enmascarar el objetivo malicioso es significativamente diferente. En la campaña principal, el redireccionamiento secundario actúa como un redireccionamiento abierto, por lo que la URL de phishing final permanece visible en la cadena de consulta a pesar de estar incluida en servicios confiables. En la variante del tema DocuSign, el enlace viaja a través de una URL de Bitdefender GravityZone y luego a través del servicio de seguimiento de clics de Intercom, con la página de destino real completamente oculta detrás de una redirección tokenizada. Este enfoque oculta completamente la URL final, lo que hace que la variante DocuSign esté aún más oculta y sea más difícil de detectar.
Imagen 1: Ejemplo de un correo electrónico de phishing interceptado
Imagen 2: Ejemplo de un correo electrónico de phishing de la variante de campaña DocuSign
Alcance y patrón de la campaña.
La campaña se dirigió principalmente a organizaciones de EE. UU., Europa, Canadá, Asia Pacífico y Medio Oriente, con especial atención a los sectores de consultoría, tecnología y construcción/bienes raíces. También se vieron afectadas organizaciones de sectores como salud, finanzas, manufactura, medios y marketing, transporte y logística, energía, educación, comercio minorista, hotelería y viajes, y administración pública. Estas industrias son objetivos atractivos porque intercambian regularmente contratos, facturas y otros documentos transaccionales, lo que hace que el intercambio de archivos y la suplantación de firmas electrónicas sean muy atractivos y con más probabilidades de éxito.
Los datos de telemetría de correo electrónico Harmony de Check Point muestran que se enviaron más de 40.000 correos electrónicos de phishing a aproximadamente 6.100 empresas en las últimas dos semanas. La campaña se dirigió principalmente a organizaciones de Estados Unidos, Europa, Canadá, Asia Pacífico y Medio Oriente. El desglose por regiones es el siguiente:
• Estados Unidos: 34.057
• Europa: 4525
• Canadá: 767
• Asia: 346
• Australia: 267
• Medio Oriente: 256
Nota: La distribución regional refleja dónde se alojan los datos comerciales en nuestra infraestructura y no necesariamente refleja las ubicaciones físicas de las empresas.
Por sectores, la mayoría de las empresas afectadas operan en consultoría, tecnología y construcción/bienes raíces, con representación adicional en atención médica, finanzas, manufactura, medios/marketing, transporte/logística, energía, educación, comercio minorista, hotelería/viajes y gobierno. Es probable que estos sectores sean el objetivo porque frecuentemente intercambian contratos, facturas y otros documentos financieros, lo que hace que el intercambio de archivos y las firmas electrónicas sean señuelos particularmente atractivos.
¿Por qué es importante?
Hemos escrito sobre campañas de phishing similares en años anteriores. Sin embargo, lo especial de este ataque es que muestra con qué facilidad los atacantes pueden imitar servicios confiables de intercambio de archivos para engañar a los usuarios y subraya la necesidad de una vigilancia continua, especialmente cuando los correos electrónicos contienen enlaces en los que se puede hacer clic, información sospechosa del remitente o contenido inusual en el cuerpo del correo electrónico.
¿Qué deberían hacer las organizaciones?
Las organizaciones y los individuos también deben tomar medidas proactivas para reducir el riesgo. Las formas de mantenerse protegido incluyen:
- Tenga siempre cuidado con los enlaces incrustados en los correos electrónicos, especialmente si parecen inesperados o urgentes.
- Preste mucha atención a los detalles del correo electrónico, como por ejemplo: B. Discrepancias entre el nombre mostrado y la dirección de devolución real, inconsistencias en el formato, tamaños de fuente inusuales, logotipos o imágenes de calidad inferior y cualquier cosa que parezca fuera de lugar.
- Pase el cursor sobre los enlaces antes de hacer clic en ellos para verificar el destino real y asegurarse de que coincida con el servicio que supuestamente envió el mensaje.
- Abra el servicio en el navegador y busque el documento directamente en lugar de utilizar los enlaces proporcionados en los correos electrónicos.
- Capacite periódicamente a los empleados y equipos sobre nuevas técnicas de phishing para que comprendan cómo se ven los patrones sospechosos.
- Aproveche las soluciones de seguridad, como la detección de amenazas por correo electrónico, los motores antiphishing, el filtrado de URL y las herramientas de informes de usuarios para fortalecer la protección general.
Explicación de Mimecast:
La campaña de ataque descrita por Check Point utilizó servicios legítimos de redireccionamiento de URL para ofuscar enlaces maliciosos, en lugar de una vulnerabilidad Mimecast. Los atacantes abusaron de la infraestructura confiable, incluido el servicio de reescritura de URL de Mimecast, para ocultar el verdadero objetivo de las URL de phishing. Esta es una táctica común en la que los delincuentes explotan cualquier dominio detectado para evitar ser detectados.
Los clientes Mimecast no son vulnerables a este tipo de ataque. Los motores de detección Mimecast identifican y bloquean estos ataques. Nuestras capacidades de escaneo de URL detectan y bloquean automáticamente las URL maliciosas antes de enviarlas. Cuando se envían, nuestro servicio de reescritura de URL comprueba los enlaces a medida que se hace clic en ellos, proporcionando una capa adicional de detección de amenazas incluso si están ocultas detrás de cadenas de redireccionamiento legítimas.
50
