Descubren una campaña de phishing que aprovecha los servidores de Samsung, Adobe y Oxford para obtener información corporativa sensible

 

Los ciberdelincuentes utilizaron un dominio Samsung alojado en un servidor de Adobe que no utilizabadesde el evento Cyber Monday de 2018

Los investigadores de Check Point® Software Technologies Ltd han descubierto una sofisticada campaña de phishing ideada para obtener los datos corporativos almacenados en las cuentas de Microsoft Office 365.  Para evitar el software de seguridad, los cibercriminales suplantaban la identidad de grandes empresas como la Universidad de Oxford, Adobe y Samsung con el objetivo de generar confianza. Un 43% de las compañías afectadas eran europeas, mientras que el resto se repartía entre Asia y Oriente Medio.

Los cibercriminales consiguieron apropiarse del servidor de correo electrónico de la Universidad de Oxford para enviar emails maliciosos a las víctimas. Dichos correos incluían enlaces que redireccionaban a un servidor de Adobe utilizado por Samsung hasta entonces, permitiendo a los hackers aprovechar el aspecto visual de un dominio legítimo de Samsung para engañar con éxito. En última instancia, los afectados eran conducidos por un engañoso procedimiento para compartir sus credenciales de inicio de sesión en Office 365.

Secuestrado el servidor de correo electrónico de Oxford 

A principios de abril de 2020, los investigadores de Check Point comenzaron a analizar los correos electrónicos enviados a potenciales víctimas con el título «Office 365 Voice Mail». Estos e-mails avisaban que un mensaje de voz estaba pendiente en el buzón de voz de la víctima, lo que llevaba a los usuarios a hacer clic en un botón que supuestamente los llevaría a su cuenta de Office 365. Sin embargo, al hacerlo, eran redirigidas a una página de phishing que se hacía pasar por la web oficial de inicio de sesión de Office 365

La procedencia de la mayor parte de los correos electrónicos eran direcciones múltiples pertenecientes a subdominios legítimos de diferentes departamentos de la Universidad de Oxford. Los asuntos de los emails muestran que los hackers encontraron una forma de utilizar uno de los servidores SMTP (protocolo de transferencia de correo simple) de Oxford, una aplicación cuyo propósito principal es enviar, recibir y/o tomar el relevo del flujo de correo saliente entre los remitentes y los receptores de los emails. El uso de los servidores SMTP legítimos de Oxford permitió a los cibercriminales burlar el control de verificación de seguridad.

Redirigir desde una URL de confianza de Samsung 

Durante el año pasado, las campañas de phishing han utilizado las redirecciones abiertas de Google y Adobe para que las URLs utilizadas en los correos electrónicos de spam generasen mayor confianza. Un redireccionamiento abierto es una URL en un sitio web que cualquiera puede utilizar para dirigir a los usuarios a otra página web diferente. En este caso, el destino final era un servidor de Adobe previamente utilizado por Samsung durante una campaña de marketing de Cyber Monday 2018. En otras palabras, el enlace incrustado en el correo electrónico original de phishing es parte del origen del dominio de confianza de Samsung, el cuál redirige a las víctimas a un sitio web bajo el control de los cibercriminales. Al utilizar el formato de enlace específico de la campaña de Adobe y un dominio legítimo, los atacantes aumentan las posibilidades de que el correo electrónico no tuviera problemas para pasar a través de las medidas de seguridad que analizan la veracidad de los enlaces, las listas negras y los patrones de URL.

«Lo que en un principio parecía ser una clásica campaña de phishing de Office 365, resultó ser una estrategia perfecta: usar marcas conocidas y con buena reputación para burlar las medidas de seguridad que le separan de las víctimas. Hoy en día, ésta es una técnica de vanguardia para entrar dentro de una red corporativa. El acceso al correo de la empresa permite a los cibercriminales un acceso ilimitado a actividades como transacciones, informes financieros, contraseñas e incluso direcciones de los activos en la nube. Para llevar a cabo el ataque, un cibercriminal tuvo que acceder a los servidores de Samsung y Oxford, lo que significa que tuvo tiempo de entender su funcionamiento interno, y, por tanto, pasar desapercibido», explica Eusebio Nieva, director técnico de Check Point para España y Portugal.

¿Cómo protegerse frente a este tipo de ciberamenazas?

La compañía actuó responsablemente e informó de forma inmediata a la Universidad de Oxford, Adobe y Samsung de estos descubrimientos. Asimismo, ofrece algunas recomendaciones para evitar ser una nueva víctima de estos ciberataques:

  1. Usar contraseñas distintas para las aplicaciones en la nube: al hacerlo, el resto de los activos están protegidos incluso aunque la seguridad de uno de ellos se haya visto comprometida.
  2. Utilizar herramientas de seguridad cloud y para el email: el hecho de que este tipo de campañas proliferen pone de manifiesto la facilidad con la que se puede evitar ser detectado por medidas de seguridad “nativas”. Por este motivo, desde Check Point recomiendan implementar soluciones de seguridad cloud y específicas para el correo electrónico que eliminen aquellas amenazas que tratan de infiltrarse en este servicio y proteger así la infraestructura cloud.
  3. No introducir credenciales en momentos en los que no suele hacerse: a menudo, esto puede ser un intento de phishing enmascarado.

 

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio