Los altos ejecutivos que trabajan en organizaciones con sede en EE. UU. están siendo objeto de una nueva campaña de phishing que aprovecha un popular kit de herramientas de phishing de adversary-in-the-middle (AiTM) llamado EvilProxy para realizar ataques de recolección de credenciales y apropiación de cuentas.
Menlo Security dijo que la actividad comenzó en julio de 2023, señalando principalmente los sectores bancario y financiero, de seguros, de gestión de propiedades e inmobiliarios, y manufacturero.
“Los actores de amenazas aprovecharon una vulnerabilidad de redirección abierta en la plataforma de búsqueda de empleo ‘indeed.com’, redirigiendo a las víctimas a páginas maliciosas de phishing que se hacen pasar por Microsoft”, dijo el investigador de seguridad Ravisankar Ramprasad en un informe publicado la semana pasada.
EvilProxy, documentado por primera vez por Resecurity en septiembre de 2022, funciona como un proxy inverso que se configura entre el objetivo y una página de inicio de sesión legítima para interceptar credenciales, códigos de autenticación de dos factores (2FA) y cookies de sesión para secuestrar cuentas de interés.
Los actores de amenazas detrás del kit de phishing AiTM son rastreados por Microsoft bajo el apodo Storm-0835 y se estima que tienen cientos de clientes.
“Estos ciberdelincuentes pagan tarifas de licencia mensuales que oscilan entre $ 200 y $ 1,000 USD y llevan a cabo campañas de phishing diarias”, dijo el gigante tecnológico. “Debido a que muchos actores de amenazas utilizan estos servicios, no es práctico atribuir las campañas a actores específicos”.
En el último conjunto de ataques documentados por Menlo Security, las víctimas reciben correos electrónicos de phishing con un enlace engañoso que apunta a Indeed, que, a su vez, redirige al individuo a una página de EvilProxy para recopilar las credenciales ingresadas.
Esto se logra aprovechando una falla de redireccionamiento abierto, que ocurre cuando una falla en la validación de la entrada del usuario hace que un sitio web vulnerable redirija a los usuarios a páginas web arbitrarias, eludiendo las barreras de seguridad.
“El subdominio ‘t.indeed.com’ se suministra con parámetros para redirigir al cliente a otro objetivo (example.com)”, dijo Ramprasad.
“Los parámetros de la URL que siguen a ‘?’ son una combinación de parámetros exclusivos de indeed.com y el parámetro de destino cuyo argumento consiste en la URL de destino. Por lo tanto, el usuario, al hacer clic en la URL, termina siendo redirigido a example.com. En un ataque real, el usuario sería redirigido a una página de phishing”.
El desarrollo llega cuando los actores de amenazas están aprovechando Dropbox para crear páginas de inicio de sesión falsas con URL incrustadas que, cuando se hace clic en ellas, redirigen a los usuarios a sitios falsos que están diseñados para robar las credenciales de la cuenta de Microsoft como parte de un esquema de compromiso de correo electrónico empresarial (BEC).
“Es otro ejemplo de cómo los hackers están utilizando servicios legítimos en lo que llamamos ataques BEC 3.0”, dijo Check Point. “Estos ataques son increíblemente difíciles de detener e identificar, tanto para los servicios de seguridad como para los usuarios finales”.
Microsoft, en su Informe de Defensa Digital, señaló cómo “los actores de amenazas están adaptando sus técnicas de ingeniería social y el uso de la tecnología para llevar a cabo ataques BEC más sofisticados y costosos” abusando de la infraestructura basada en la nube y explotando las relaciones comerciales de confianza.
También se produce cuando el Servicio de Policía de Irlanda del Norte advirtió sobre un aumento en los correos electrónicos de qishing, que implican el envío de un correo electrónico con un documento PDF o un archivo de imagen PNG que contiene un código QR en un intento de eludir la detección y engañar a las víctimas para que visiten sitios maliciosos y páginas de recolección de credenciales.
