Los usuarios son siete veces más propensos a hacer clic en enlaces maliciosos de SharePoint Online y OneDrive

22 octubre, 2020
5 Compartido 1,222 Visualizaciones

Por qué tienen tanto éxito los ataques combinados de phishing que utilizan servicios de nube y compromiso de cuentas de correo

Los autores de amenazas han seguido la migración empresarial a la nube. Ponen en riesgo y toman el control de las cuentas de los usuarios para moverse lateralmente dentro de una organización, robar datos o comunicarse con sus socios comerciales y clientes, solicitando transferencias bancarias fraudulentas. Utilizan su infraestructura de nube y correo electrónico para alojar y distribuir contenido malicioso. Los atacantes aprovechan los contactos de los usuarios y estudian sus correos electrónicos para comprender las relaciones de confianza y hacer un mapa detallado de las organizaciones. Sacando provecho a la forma en que trabajan actualmente los empleados, como el intercambio de archivos, los ataques pueden ser más efectivos que nunca. De hecho, un informe de Proofpoint ha puesto de manifiesto que los usuarios son siete veces más propensos a hacer clic en enlaces maliciosos de SharePoint Online y OneDrive alojados en dominios legítimos de Microsoft.

En el primer semestre de 2020, Proofpoint detectó 5,9 millones de mensajes de correo electrónico que contenían enlaces maliciosos de SharePoint Online y OneDrive. Y aunque este volumen de mensajes supone aproximadamente el 1% del total de mensajes que contienen URLs maliciosas, representan más del 13% de los clics de los usuarios. Los usuarios fueron cuatro veces más propensos a hacer clic en enlaces maliciosos de SharePoint, y 11 veces más propensos a hacer clic en enlaces maliciosos de OneDrive. También han puesto de manifiesto que los mensajes se distribuyeron desde más de 5.500 dominios comprometidos, lo que supone una gran parte de la base de clientes empresariales de Microsoft.

Vínculos maliciosos de SharePoint / OneDrive y ciclo de vida de adquisición de cuentas

El phishing de SharePoint generalmente comienza con el compromiso de la cuenta en la nube. Una vez conseguido el control de la cuenta, el atacante carga un archivo malicioso y luego cambia los permisos de uso compartido del archivo a «Público» para que el nuevo enlace anónimo pueda compartirse con cualquier persona. El atacante envía el enlace por correo electrónico o comparte el enlace con los contactos del usuario u otras cuentas específicas, internas o externas. Cuando los destinatarios abren el archivo y hacen clic en el enlace malicioso insertado, son víctimas de phishing, y esto vuelve a iniciar todo el ciclo nuevamente. Estos ataques pueden generar un robo de datos o diferentes formas de fraude electrónico, como el fraude en la cadena de suministro.

En el siguiente ejemplo, un usuario recibe un correo electrónico con un enlace compartido a un archivo PDF (INV_1100110.pdf), que parece una factura. Cuando hace clic en el enlace del archivo PDF, se le dirige a un sitio de phishing que es una página de inicio de sesión de OneDrive falsa.

A veces, el enlace que contiene el documento compartido puede ser una URL de redireccionamiento que es única y, por lo tanto, puede ser difícil de detectar, ya que no aparecería en ningún repositorio de reputación de URLs.

Ejemplo de OneNote:

A continuación, se muestra un ejemplo de un ataque que usa SharePoint para alojar un archivo de OneNote malicioso que se hace pasar por correo de voz:

Los archivos maliciosos de OneNote también pueden suponer un desafío, ya que no se pueden descargar ni almacenar en una sandbox. La detección requiere un paso adicional: la extracción de datos web (web-scraping) antes de analizar los enlaces incrustados.

Ejemplo de Microsoft Forms. En este ejemplo, el ciberdelincuente comparte un documento de Word con un enlace a un archivo de Microsoft Forms compartido públicamente (la página de inicio de sesión falsa), que se utiliza para recopilar las credenciales de Office 365. Dado que este ataque utiliza servicios legítimos de Microsoft y es pura ingeniería social, es más complicado de detectar y aún más difícil de bloquear por parte de aquellas compañías que carecen de visibilidad en los entornos de correo electrónico y nube.

También hemos observado que algunos atacantes alojan contenido malicioso en una cuenta comprometida en un dominio, y utilizan la cuenta comprometida de un VIP de otro dominio. Compartir el enlace malicioso desde la cuenta del usuario adecuado aumenta las posibilidades de éxito de los atacantes. Además, incluso si se descubre la cuenta comprometida en el segundo dominio, el archivo malicioso alojado en el primero no se eliminaría. Y así, el ataque persistiría.

Top 10 dominios de servicios colaborativos con enlaces maliciosos en los que se hace clic

SharePoint Online y OneDrive no son los únicos dominios de servicios colaborativos utilizados por los atacantes. El siguiente gráfico muestra la lista de los 10 principales dominios, ordenados por el número de clics en enlaces maliciosos alojados en ellos durante la primera mitad de 2020. Uno de los más destacados es Sway, la nueva aplicación de Microsoft para crear y compartir contenido interactivo, como informes y boletines. Destaca también Googleapis, un servicio de alojamiento de archivos (como un parche de software) que usan los atacantes para estafas de soporte.

Defensa contra amenazas híbridas de correo electrónico y nube

Para defenderse de ataques híbridos, como el phishing que utiliza alojamiento en SharePoint y OneDrive, las organizaciones deben obtener visibilidad sobre los vectores de amenazas de nube y de correo electrónico, y abordar la cadena de ataque de manera integral. Deben conocer cuáles son sus personas muy atacadas (VAP) y los riesgos que representan para su organización.

  • ¿Quiénes son blanco prioritario de las amenazas?
  • ¿Qué técnicas se están utilizando para atacar a estos usuarios?
  • ¿Quién ha hecho clic en enlaces maliciosos?
  • ¿Qué usuarios son más propensos a hacer clic?
  • ¿Qué cuentas están comprometidas en la organización?
  • ¿Cuáles de las cuentas comprometidas muestran actividad de archivos sospechosos?

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

La Junta de CyL busca en el mercado nuevas soluciones tecnológicas en ciberseguridad
Actualidad
24 compartido1,624 visualizaciones
Actualidad
24 compartido1,624 visualizaciones

La Junta de CyL busca en el mercado nuevas soluciones tecnológicas en ciberseguridad

José Luis - 30 julio, 2018

El Instituto Nacional de Ciberseguridad (INCIBE) y la Consejería de Economía y Hacienda de la JCyL han lanzado hoy una…

Su Majestad el Rey presidirá la inauguración de las XII Jornadas CCN-CERT, organizadas por el Centro Criptológico Nacional
Actualidad
25 compartido1,895 visualizaciones
Actualidad
25 compartido1,895 visualizaciones

Su Majestad el Rey presidirá la inauguración de las XII Jornadas CCN-CERT, organizadas por el Centro Criptológico Nacional

Vicente Ramírez - 10 diciembre, 2018

Las #XIIJornadasCCNCERT, respaldadas por 43 de las principales empresas y asociaciones del sector y con ponentes de reconocido prestigio, abordarán…

Sophos es elegida por la multinacional Contenur para la centralización de su ciberseguridad
Actualidad
10 compartido1,330 visualizaciones
Actualidad
10 compartido1,330 visualizaciones

Sophos es elegida por la multinacional Contenur para la centralización de su ciberseguridad

Alicia Burrueco - 13 septiembre, 2019

El fabricante de ciberseguridad, en colaboración con la consultora Zertia Comunicaciones, ha aplicado sus soluciones de seguridad sincronizada para aumentar…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.