Investigadores de seguridad de correo electrónico de Check Point han revelado recientemente una campaña de phishing donde los atacantes se hacen pasar por servicios de intercambio de archivos y firma electrónica, enviando señuelos con contenido financiero que imitan notificaciones legítimas.

En este caso, se enviaron más de 40,000 correos electrónicos de phishing a cerca de 6,100 empresas en las últimas dos semanas. Todos los enlaces maliciosos se redirigieron a través de https://url.za.m.mimecastprotect.com, lo que aumentó la credibilidad al simular flujos de redireccionamiento habituales.

Los atacantes aprovecharon la función de reescritura de enlaces seguros de Mimecast, utilizándola como fachada para que sus enlaces parecieran seguros y verificados. Al ser Mimecast Protect un dominio de confianza, esta técnica permite que las URL maliciosas eviten filtros automáticos y reduzcan la desconfianza del usuario.

Para aumentar la veracidad, los correos replicaban elementos visuales oficiales del servicio, como logotipos de Microsoft y productos de Office. Empleaban encabezados, pies de página y botones de “revisar documento” que se asemejaban a los de los servicios legítimos, falsificando nombres de remitente como “X vía SharePoint (Online)”, “eSignDoc vía Y” y “SharePoint”, todos muy similares a patrones de notificación reales.

“Las plataformas digitales de intercambio de archivos y firma electrónica son esenciales en sectores como la banca, bienes raíces y seguros. No obstante, esta comodidad ofrece una oportunidad para los ciberdelincuentes”, menciona Alejandro Botter, Gerente de Ingeniería de Check Point.

Phishing al estilo DocuSign con un enfoque de redireccionamiento distinto

Aparte de la campaña principal de SharePoint/firma electrónica, los investigadores han identificado una operación más pequeña que simula notificaciones de DocuSign. Al igual que el ataque principal, se hace pasar por una plataforma SaaS confiable y utiliza una infraestructura legítima de redireccionamiento, pero el método empleado para ocultar el destino malicioso es notablemente diferente.

En la campaña principal, la redirección secundaria es abierta, permitiendo que la URL de phishing sea visible en la consulta, a pesar de estar en un servicio de confianza. En cambio, el ataque simulado de DocuSign utiliza una redirección a través de una URL de Bitdefender GravityZone y luego por el servicio de seguimiento de clics de Intercom, manteniendo oculta la URL final gracias a una redirección tokenizada. Este enfoque hace que la variante de DocuSign sea aún más sigilosa y difícil de detectar.

La campaña se dirigió principalmente a organizaciones en EE. UU., Europa, Canadá, Asia-Pacífico y Oriente Medio, concentrándose en sectores como consultoría, tecnología y construcción/inmobiliario. También hubo víctimas en áreas como salud, finanzas, manufactura, medios de comunicación y marketing, transporte y logística, energía, educación, comercio minorista, hostelería, viajes y administración pública. Estos sectores son objetivos atractivos debido al frecuente intercambio de contratos, facturas y otros documentos transaccionales, lo que hace que el uso de firma electrónica y el intercambio de archivos sean altamente convincentes y con alta probabilidad de éxito.

La información de telemetría de correo electrónico Harmony de Check Point indica que, en las últimas dos semanas, se han enviado más de 40,000 correos electrónicos de phishing dirigidos a aproximadamente 6,100 empresas a nivel mundial.

Las empresas más afectadas pertenecen a los sectores de consultoría, tecnología y construcción/inmobiliario, salud, finanzas, manufactura, medios de comunicación y marketing, transporte, logística, energía y educación. La elección de estos sectores como blanco es probable debido a su frecuente intercambio de contratos y documentos financieros, lo que hace que el uso de servicios de firma electrónica y el intercambio de archivos sean especialmente atractivos.

“Lo que distingue a este ataque es la facilidad con la que los atacantes pueden replicar servicios de intercambio de archivos confiables para engañar a los usuarios, resaltando la necesidad de vigilancia continua, especialmente ante correos que incluyen enlaces clicables, remitentes sospechosos o contenido inusual”, comenta Alejandro Botter.

Medidas proactivas para minimizar riesgos

1. Mantenga cuidado con los enlaces en correos electrónicos, especialmente si parecen inesperados o urgentes.

2. Preste atención a los detalles en el correo, como discrepancias entre el nombre de visualización y la dirección real del remitente, inconsistencias en el formato, tipografías inusuales, logotipos o imágenes de baja calidad y cualquier anomalía que llame la atención.

3. Pase el cursor sobre los enlaces antes de hacer clic para verificar el destino real y confirmar que coincida con el servicio que supuestamente envió el mensaje.

4. Acceda directamente al servicio en su navegador para buscar el documento, en lugar de usar los enlaces proporcionados en correos electrónicos. 5. Capacite regularmente a empleados sobre nuevas técnicas de phishing, para que sean conscientes de patrones sospechosos.

5. Emplee soluciones de seguridad que incluyan detección de amenazas de correo electrónico, motores antiphishing, filtrado de URL y herramientas de informes de usuarios para fortalecer la protección global.

El post Detectan 40,000 correos electrónicos de phishing camuflados en SharePoint y servicios de firma electrónica apareció primero en Revista Seguridad & Defensa.

Con Información de revistaseguridad.cl