El phishing de Microsoft Office 365 evade la detección con piezas HTML de Lego

13 abril, 2021
9 Compartido 1,372 Visualizaciones

Una reciente campaña de phishing utilizó un ingenioso truco para entregar la página web fraudulenta que recopila las credenciales de Microsoft Office 365

El continuo ataque al servidor de correo electrónico Microsoft Exchange Server desde el pasado mes de enero, ha provocado varias líneas de investigación. Una de ellas apunta a que los atacantes aprovecharon una sucesión de errores, previamente desconocidos, para infiltrarse en los sistemas de Exchange Server y atacar a diferentes usuarios. Pero para hacer eso, los ciberdelincuentes tenían que conocer las cuentas de correo electrónico de los administradores del sistema de las respectivas redes sociales. Se cree que los atacantes disponían de información personal que los conducía a las cuentas de correo electrónico de los administradores del sistema, bien porque había sido sustraída de hackeos anteriores o bien de perfiles públicos de redes sociales.

El método que utilizaron consiste en pegar varias piezas de HTML ocultas en archivos JavaScript. Para obtener la interfaz de inicio de sesión falsa y pedirle a la posible víctima que escriba la información confidencial. Las víctimas recibieron un correo electrónico con tan solo un archivo adjunto que afirmaba ser un archivo de Excel (.XLSX) sobre una inversión. En realidad, el archivo era un documento HTML con un fragmento de texto codificado en URL.

Una vez que el texto estuvo decodificado por parte de los investigadores de Trustwave, encontraron más decodificación por delante, debido a que se ofuscó aún más a través de los códigos de entidad. A través de CyberChef de GCHQ, pudieron revelar enlaces a dos archivos JavaScript alojados en «yourjavascript.com». Este dominio también se ha utilizado para otras campañas de phishing.

Piezas de construcción ocultas

Cada uno de los dos archivos JavaScript tenía dos bloques de texto codificado que ocultaban el código HTML, la URL y la codificación Base64. En uno de ellos, los investigadores encontraron el comienzo de la página de phishing y el código que valida el correo electrónico y la contraseña de la víctima. Y el segundo JavaScript contenía la función «enviar», ubicada a través de las etiquetas de «formulario» y el código que desencadenaba un mensaje emergente que informaba a las víctimas que se habían desconectado y que debían autenticarse otra vez.

En definitiva, los investigadores decodificaron más de 367 líneas de código HTML repartidas en cinco fragmentos entre los dos archivos JavaScript y uno en el archivo adjunto del correo electrónico. Que apilados juntos, crearon la página de phishing de Microsoft Office 365.

«Lo inusual de esta campaña es que el JavaScript se descarga en fragmentos ocultos desde una ubicación remota y luego se ensambla localmente«. Explica Trustwave. «Esto ayuda a los atacantes a eludir las protecciones de seguridad como Secure Email Gateways que podrían identificar el JavaScript malicioso del archivo adjunto inicial y bloquearlo». Agregaron los investigadores.

La dirección de correo electrónico de la víctima se completa automáticamente para dar una sensación de legitimidad. Las estafas de phishing también comprueban que la contraseña no esté en blanco y utilizarán expresiones regulares para confirmar una dirección de correo electrónico válida.

Trustwave también señala que la URL que recibe las credenciales robadas para esta campaña todavía está activa. Los investigadores dicen que los trucos de esta campaña son infrecuentes. El objetivo que buscan los ciberdelincuentes utilizando un archivo adjunto HTML que apunta a código JavaScript en una ubicación remota y una codificación única, es evitar ser detectados.

Comentario de Lavi Lazarovitz

Lavi Lazarovitz, director senior del equipo de investigación cibernética de CyberArk: «Si bien es posible que los atacantes de Microsoft simplemente tuvieran suerte, sabemos que ha habido un marcado cambio en los patrones de ataque para apuntar con precisión a ciertas personas. Los atacantes saben cómo identificar las cuentas privilegiadas que quieren comprometer. Y a menudo, pueden conocer la totalidad de las credenciales que protegen esas cuentas al analizar lo que está disponible públicamente en las plataformas de redes sociales. La naturaleza cambiante del trabajo requiere la apertura de más servicios y aplicaciones de acceso remoto para usuarios y administradores empresariales. A su vez, los atacantes están extendiendo sus ataques de suplantación de identidad contra activos de alto valor o alto nivel. La posibilidad de comprometer las credenciales privilegiadas nunca ha sido tan elevada.

Por ello, las empresas que adopten estrategias de Zero Trust, pueden protegerse contra este tipo de ataques. El ataque a Microsoft se parece mucho a la cadena de ataques que estamos viendo cada día. Realizar reconocimientos, ganar confianza y luego robar credenciales o datos. Las compañías que incorporen los principios de Zero Trust y el mínimo privilegio en sus estrategias de seguridad de la identidad estarán mejor posicionadas para poder interrumpir esta cadena de ataques».

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

La Oficina de Fraude de Seguros ataca por fraude organizado
Ciberseguros
9 compartido1,232 visualizaciones
Ciberseguros
9 compartido1,232 visualizaciones

La Oficina de Fraude de Seguros ataca por fraude organizado

Aina Pou Rodríguez - 29 abril, 2021

La Organización está trabajando para construir un sistema de detección de fraude respaldado por inteligencia artificial La Oficina de Fraude…

Angela Merkel podría ser víctima de un ciberataque en las siguientes elecciones
Actualidad
1014 visualizaciones
Actualidad
1014 visualizaciones

Angela Merkel podría ser víctima de un ciberataque en las siguientes elecciones

Redacción - 8 septiembre, 2017

Angela Merkel podría ser víctima de un ciberataque en las siguientes elecciones. Estas son las conclusiones de las investigaciones de…

Las 12 brechas y ciberataques a empresas de este 2020
CyberAttacks
2020 visualizaciones
CyberAttacks
2020 visualizaciones

Las 12 brechas y ciberataques a empresas de este 2020

Redacción - 4 enero, 2021

La AEPD comunicaba el pasado mes de noviembre un acumulado de 1.206 notificaciones de brechas de seguridad. Este tan diferente…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.