10K Usuarios de correo electrónico de Microsoft golpeados en el ataque de phishing a FedEx

10K Usuarios de correo electrónico de Microsoft golpeados en el ataque de phishing a FedEx

Los usuarios de Microsoft están recibiendo correos electrónicos que simulan ser de los mensajeros de correo FedEx y DHL Express , pero que realmente roban sus credenciales.

Los investigadores están advirtiendo de recientes ataques de phishing dirigidos a al menos 10.000 usuarios de correo electrónico de Microsoft, fingiendo ser de mensajeros de correo populares , incluyendo FedEx y DHL Express.

Ambas estafas se han dirigido a los usuarios de correo electrónico de Microsoft y tienen como objetivo deslizar sus credenciales de cuenta de correo electrónico de trabajo. También utilizaron páginas de phishing alojadas en dominios legítimos, incluidos los de Quip y Google Firebase, lo que permitió que los correos electrónicos pasaran por filtros de seguridad creados para bloquear enlaces incorrectos conocidos.

"Los títulos de correo electrónico, los nombres de remitentes y el contenido hicieron lo suficiente para enmascarar su verdadera intención y hacer pensar a las víctimas que los correos electrónicos eran realmente de FedEx y DHL Express respectivamente", dijeron investigadores con Armorblox el martes. "Los correos electrónicos que nos informan de los documentos escaneados de FedEx o las entregas perdidas de DHL no están fuera de lo común; la mayoría de los usuarios tenderán a tomar medidas rápidas sobre estos correos electrónicos en lugar de estudiarlos en detalle para cualquier inconsistencia."

Correos electrónicos de phishing de FedEx: Uso de Quip, Google Firebase

El correo electrónico de phishing que suplanta a la empresa estadounidense de servicios de entrega multinacional FedEx tenía el título"Tienes un nuevo FedEx enviado a ti", con una fecha en la que se envió el correo electrónico.

Este correo electrónico contenía cierta información sobre el documento para que pareciera legítimo , como su ID, número de páginas y tipo de documento – junto con un enlace para ver el supuesto documento. Si los destinatarios hicieron clic en el correo electrónico, se llevarían a un archivo hospedado en Quip. Quip, que viene en una versión gratuita, es una herramienta para Salesforce que ofrece documentos, hojas de cálculo, diapositivas y servicios de chat.

"Hemos observado una tendencia continua de actores maliciosos que alojan páginas de phishing en servicios legítimos como Google Sites, Box y Quip (en este caso) ", dijeron los investigadores. "La mayoría de estos servicios tienen versiones gratuitas y son fáciles de usar, lo que los hace beneficiosos para millones de personas en todo el mundo, pero desafortunadamente también bajan la barra para que los ciberdelincuentes lancen ataques de phishing exitosos."

Esta página contenía el logotipo de FedEx y se titulaba "Usted ha recibido algunos archivos entrantes de FedEx." A continuación, incluyó un enlace para que las víctimas revisaran el supuesto documento. Una vez que las víctimas hicieron clic en esta página, finalmente serían llevadas a una página de phishing que se asemejaba al portal de inicio de sesión de Microsoft, que está alojado en Google Firebase, una plataforma desarrollada por Google para crear aplicaciones móviles y web. Google Firebase se ha utilizado cada vez más mediante ataques de phishing durante el último año para evitar la detección.

Cabe destacar que si una víctima introduce sus credenciales en la página, vuelve a cargar el portal de inicio de sesión con un mensaje de error que pide a la víctima que introduzca los detalles correctos.

"Esto podría apuntar a algún mecanismo de validación back-end en su lugar que comprueba la veracidad de los detalles introducidos", dijeron los investigadores. "Alternativamente, los atacantes podrían estar buscando cosechar tantas direcciones de correo electrónico y contraseñas como sea posible y el mensaje de error seguirá apareciendo independientemente de los detalles introducidos."

Ataque de phishing DHL Express: curioso mensaje de inicio de sesión de Adobe

Una campaña separada se hizo pasar por el mensajero internacional alemán DHL Express, con correos electrónicos diciendo a los destinatarios que "Su paquete ha llegado", con sus direcciones de correo electrónico al final del título.

El correo electrónico dijo a los destinatarios que un paquete no podía ser entregado a ellos debido a los detalles de entrega incorrectos – y que el paquete está listo para ser recogido en la oficina de correos.

El correo electrónico instó a los destinatarios a desprote vistazo a los "documentos de envío" adjuntos si desean recibir su entrega. El documento adjunto era un archivo HTML (titulado "SHIPPING DOC") que, cuando se abrió, previsualizaba una hoja de cálculo que parecía documentos de envío.

La vista previa se realizó en capas con un cuadro de solicitud de inicio de sesión que se hacía pasar por el lector pdf de Adobe. Los investigadores señalaron que es posible que los atacantes estuvieran tratando de phishing para las credenciales de Adobe, pero es más probable que estuvieran tratando de obtener las credenciales de correo electrónico de trabajo de las víctimas.

"El campo de correo electrónico en el cuadro de inicio de sesión estaba pre-lleno con el correo electrónico de trabajo de la víctima", dijeron los investigadores. "Los atacantes están apostando a que las víctimas piensen antes de actuar e introduzcan su contraseña de correo electrónico de trabajo en esta caja sin prestar demasiada atención a la marca Adobe."

Al igual que el ataque de phishing FedEx, cuando las víctimas ingresaron sus datos en esta página, devolvió un mensaje de error.

Aprovechando las tendencias de COVID-19

Con COVID-19 haciendo que más personas recurra a plataformas en línea para comprar bienes, comestibles y varios accesorios para el hogar , en lugar de tiendas en persona , el envío en línea está en un máximo histórico.

Los ciberdelincuentes están aprovechando esto, como se ve en estos correos electrónicos de phishing recientes, pero también han aprovechado muchos otros señuelos, desde fondos de ayuda de Covid-19, despliegues de vacunas y necesidades de equipos de protección personal (EPI).

"Durante la pandemia, todos hemos estado recibiendo entregas en línea, a menudo entregas sin contacto y estar en correspondencia por correo con FedEx/DHL es por lo tanto una parte común de nuestras vidas ahora", dijo Preet Kumar, director de Éxito del Cliente de Armorblox a Threatpost. "Los atacantes están apostando por las víctimas que compran la legitimidad de este correo electrónico y toman medidas rápidas sin pensar demasiado en ello".

¿QUE TE PARECIÓ ESTA NOTICIA? DÉJANOS TU COMENTARIO!

No Comments

Post A Comment

× Contáctanos