Facebook Linkedin Twitter Instagram Youtube Telegram
Buscar
Cerrar este cuadro de búsqueda.

El phishing de Microsoft Office 365 evade la detección con piezas HTML de Lego

Una reciente campaña de phishing utilizó un ingenioso truco para entregar la página web fraudulenta que recopila las credenciales de Microsoft Office 365

El continuo ataque al servidor de correo electrónico Microsoft Exchange Server desde el pasado mes de enero, ha provocado varias líneas de investigación. Una de ellas apunta a que los atacantes aprovecharon una sucesión de errores, previamente desconocidos, para infiltrarse en los sistemas de Exchange Server y atacar a diferentes usuarios. Pero para hacer eso, los ciberdelincuentes tenían que conocer las cuentas de correo electrónico de los administradores del sistema de las respectivas redes sociales. Se cree que los atacantes disponían de información personal que los conducía a las cuentas de correo electrónico de los administradores del sistema, bien porque había sido sustraída de hackeos anteriores o bien de perfiles públicos de redes sociales.

El método que utilizaron consiste en pegar varias piezas de HTML ocultas en archivos JavaScript. Para obtener la interfaz de inicio de sesión falsa y pedirle a la posible víctima que escriba la información confidencial. Las víctimas recibieron un correo electrónico con tan solo un archivo adjunto que afirmaba ser un archivo de Excel (.XLSX) sobre una inversión. En realidad, el archivo era un documento HTML con un fragmento de texto codificado en URL.

Una vez que el texto estuvo decodificado por parte de los investigadores de Trustwave, encontraron más decodificación por delante, debido a que se ofuscó aún más a través de los códigos de entidad. A través de CyberChef de GCHQ, pudieron revelar enlaces a dos archivos JavaScript alojados en «yourjavascript.com». Este dominio también se ha utilizado para otras campañas de phishing.

Piezas de construcción ocultas

Cada uno de los dos archivos JavaScript tenía dos bloques de texto codificado que ocultaban el código HTML, la URL y la codificación Base64. En uno de ellos, los investigadores encontraron el comienzo de la página de phishing y el código que valida el correo electrónico y la contraseña de la víctima. Y el segundo JavaScript contenía la función «enviar», ubicada a través de las etiquetas de «formulario» y el código que desencadenaba un mensaje emergente que informaba a las víctimas que se habían desconectado y que debían autenticarse otra vez.

En definitiva, los investigadores decodificaron más de 367 líneas de código HTML repartidas en cinco fragmentos entre los dos archivos JavaScript y uno en el archivo adjunto del correo electrónico. Que apilados juntos, crearon la página de phishing de Microsoft Office 365.

«Lo inusual de esta campaña es que el JavaScript se descarga en fragmentos ocultos desde una ubicación remota y luego se ensambla localmente«. Explica Trustwave. «Esto ayuda a los atacantes a eludir las protecciones de seguridad como Secure Email Gateways que podrían identificar el JavaScript malicioso del archivo adjunto inicial y bloquearlo». Agregaron los investigadores.

La dirección de correo electrónico de la víctima se completa automáticamente para dar una sensación de legitimidad. Las estafas de phishing también comprueban que la contraseña no esté en blanco y utilizarán expresiones regulares para confirmar una dirección de correo electrónico válida.

Trustwave también señala que la URL que recibe las credenciales robadas para esta campaña todavía está activa. Los investigadores dicen que los trucos de esta campaña son infrecuentes. El objetivo que buscan los ciberdelincuentes utilizando un archivo adjunto HTML que apunta a código JavaScript en una ubicación remota y una codificación única, es evitar ser detectados.

Comentario de Lavi Lazarovitz

Lavi Lazarovitz, director senior del equipo de investigación cibernética de CyberArk: «Si bien es posible que los atacantes de Microsoft simplemente tuvieran suerte, sabemos que ha habido un marcado cambio en los patrones de ataque para apuntar con precisión a ciertas personas. Los atacantes saben cómo identificar las cuentas privilegiadas que quieren comprometer. Y a menudo, pueden conocer la totalidad de las credenciales que protegen esas cuentas al analizar lo que está disponible públicamente en las plataformas de redes sociales. La naturaleza cambiante del trabajo requiere la apertura de más servicios y aplicaciones de acceso remoto para usuarios y administradores empresariales. A su vez, los atacantes están extendiendo sus ataques de suplantación de identidad contra activos de alto valor o alto nivel. La posibilidad de comprometer las credenciales privilegiadas nunca ha sido tan elevada.

Por ello, las empresas que adopten estrategias de Zero Trust, pueden protegerse contra este tipo de ataques. El ataque a Microsoft se parece mucho a la cadena de ataques que estamos viendo cada día. Realizar reconocimientos, ganar confianza y luego robar credenciales o datos. Las compañías que incorporen los principios de Zero Trust y el mínimo privilegio en sus estrategias de seguridad de la identidad estarán mejor posicionadas para poder interrumpir esta cadena de ataques».

Picture of Samuel Rodríguez

Samuel Rodríguez

Periodista. Al frente de Ecommerce News desde 2012. Inquieto. Por el camino he creado otros medios como @BigDataMagazine y @CybersecurityNews. Organizador de cientos de eventos profesionales. Ahora con un pie en Portugal y otro en México… Muy del @GetafeCF

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio