Un actor de amenazas desconocido ha sido vinculado a una campaña de estafa masiva que explotó una configuración incorrecta de enrutamiento de correo electrónico en las defensas del proveedor de seguridad de correo electrónico Proofpoint para enviar millones de mensajes suplantando a varias empresas populares como Best Buy, IBM, Nike y Walt Disney, entre otras.
«Estos correos electrónicos se hacían eco de los relés de correo electrónico oficiales de Proofpoint con firmas SPF y DKIM autenticadas, eludiendo así las principales protecciones de seguridad, todo para engañar a los destinatarios y robar fondos y detalles de tarjetas de crédito», dijo el investigador de Guardio Labs, Nati Tal. dicho en un informe detallado compartido con The Hacker News.
La empresa de ciberseguridad ha dado a la campaña el nombre Falsificación de ecoSe cree que la actividad comenzó en enero de 2024, cuando el actor de amenazas aprovechó la falla para enviar hasta tres millones de correos electrónicos por día en promedio, una cifra que alcanzó un pico de 14 millones a principios de junio cuando Proofpoint comenzó a implementar contramedidas.
«La parte más exclusiva y poderosa de este dominio es el método de suplantación de identidad, que prácticamente no deja ninguna posibilidad de darse cuenta de que no se trata de un correo electrónico genuino enviado por esas empresas», dijo Tal a la publicación.
«Este concepto de EchoSpoofing es realmente poderoso. Es un poco extraño que se esté utilizando para phishing a gran escala como este en lugar de una campaña de phishing selectivo, donde un atacante puede tomar rápidamente la identidad de cualquier miembro real del equipo de la empresa y enviar correos electrónicos a otros compañeros de trabajo; eventualmente, a través de ingeniería social de alta calidad, obtener acceso a datos internos o credenciales e incluso comprometer a toda la empresa.
La técnica, que implica que el actor de la amenaza envíe los mensajes desde un servidor SMTP a un servidor privado virtual (VPS), es notable por el hecho de que cumple con Medidas de autenticación y seguridad como SPF y DKIM, que son las abreviaturas de Sender Policy Framework y DomainKeys Identified Mail, respectivamente, y se refieren a métodos de autenticación diseñados para evitar que los atacantes imiten un dominio legítimo.
Todo se remonta al hecho de que estos mensajes se enrutan desde varios inquilinos de Microsoft 365 controlados por el adversario, que luego se retransmiten a través de las infraestructuras de correo electrónico de los clientes empresariales de Proofpoint para llegar a los usuarios de proveedores de correo electrónico gratuitos como Yahoo!, Gmail y GMX.
Este es el resultado de lo que Guardio describió como una «falla de configuración súper permisiva» en los servidores de Proofpoint («pphosted.com») que esencialmente permitía a los spammers aprovechar la infraestructura de correo electrónico para enviar mensajes.
«La causa principal es una función de configuración de enrutamiento de correo electrónico modificable en los servidores de Proofpoint para permitir la retransmisión de mensajes salientes de las organizaciones desde los inquilinos de Microsoft 365, pero sin especificar qué inquilinos de M365 permitir», Proofpoint dicho en un informe de divulgación coordinado compartido con The Hacker News.
«Cualquier infraestructura de correo electrónico que ofrezca esta función de configuración de enrutamiento de correo electrónico puede ser objeto de abuso por parte de los spammers».
En otras palabras, un atacante puede utilizar la falla como arma para configurar inquilinos falsos de Microsoft 365 y enviar mensajes de correo electrónico falsificados a los servidores de retransmisión de Proofpoint, desde donde se «reproducen» como mensajes digitales genuinos que se hacen pasar por los dominios de los clientes.
Esto, a su vez, se logra configurando el conector de correo electrónico saliente de Exchange Server directamente al punto final vulnerable pphosted.com asociado con el cliente. Además, una versión pirateada de un software legítimo de entrega de correo electrónico llamado PowerMTA Se utiliza para enviar mensajes.
«El spammer utilizó una serie rotativa de servidores privados virtuales (VPS) alquilados de varios proveedores, usando muchas direcciones IP diferentes para iniciar ráfagas rápidas de miles de mensajes a la vez desde sus servidores SMTP, enviados a Microsoft 365 para ser retransmitidos a los servidores de clientes alojados en Proofpoint», dijo Proofpoint.
«Microsoft 365 aceptó estos mensajes falsificados y los envió a las infraestructuras de correo electrónico de estos clientes para que se retransmitieran. Cuando se falsificaron los dominios de los clientes durante la retransmisión a través de la infraestructura de correo electrónico del cliente correspondiente, también se aplicó la firma DKIM a medida que los mensajes transitaban por la infraestructura de Proofpoint, lo que hizo que los mensajes de spam fueran más fáciles de entregar».
Se sospecha que los operadores eligieron intencionalmente EchoSpoofing como una forma de generar ingresos ilegales y evitar el riesgo de exposición durante períodos prolongados de tiempo, ya que apuntar directamente a las empresas a través de este modus operandi podría haber aumentado drásticamente las posibilidades de ser detectado, poniendo en peligro todo el esquema.
Dicho esto, actualmente no está claro quién está detrás de la campaña. Proofpoint afirmó que la actividad no se superpone con ningún actor o grupo de amenazas conocido.
«En marzo, los investigadores de Proofpoint identificaron campañas de spam que se transmitían a través de la infraestructura de correo electrónico de un pequeño número de clientes de Proofpoint mediante el envío de spam desde inquilinos de Microsoft 365», afirmó en un comunicado. «Todos los análisis indican que esta actividad fue realizada por un actor de spam, cuya actividad no atribuimos a una entidad conocida».
«Desde que descubrimos esta campaña de spam, hemos trabajado diligentemente para brindar instrucciones correctivas, incluida la implementación de una interfaz administrativa optimizada para que los clientes especifiquen qué inquilinos de M365 pueden retransmitir, mientras que todos los demás inquilinos de M365 tienen prohibido hacerlo de forma predeterminada».
Proofpoint enfatizó que no se expusieron datos de sus clientes ni ninguno de ellos sufrió pérdida de datos como resultado de estas campañas. Señaló además que se comunicó directamente con algunos de sus clientes para cambiar sus configuraciones y detener la efectividad de la actividad de spam de retransmisión saliente.
«Cuando empezamos a bloquear la actividad del spammer, éste aceleró sus pruebas y se trasladó rápidamente a otros clientes», señaló la empresa. «Establecimos un proceso continuo de identificación de los clientes afectados cada día y reordenamos las prioridades para solucionar las configuraciones».
Para reducir el spam, insta a los proveedores de VPS a limitar la capacidad de sus usuarios para enviar grandes volúmenes de mensajes desde servidores SMTP alojados en su infraestructura. También pide a los proveedores de servicios de correo electrónico que restrinjan las capacidades de los usuarios de prueba gratuita y de los nuevos usuarios no verificados para enviar mensajes de correo electrónico salientes masivos, así como que les impidan enviar mensajes que suplanten un dominio del que no han demostrado ser propietarios.
«Para los CISO, la principal lección que deben aprender es que deben cuidar especialmente la postura de su organización en la nube, especialmente en lo que respecta al uso de servicios de terceros que se convierten en la columna vertebral de los métodos de comunicación y redes de su empresa», afirmó Tal. «En particular, en el ámbito del correo electrónico, es importante mantener siempre un ciclo de retroalimentación y un control propio, incluso si confían plenamente en su proveedor de correo electrónico».
«Y en cuanto a otras empresas que ofrecen este tipo de servicios básicos, al igual que lo hizo Proofpoint, deben estar alertas y ser proactivas y pensar en todos los tipos de amenazas posibles en primer lugar. No solo las amenazas que afectan directamente a sus clientes, sino también al público en general.
«Esto es crucial para la seguridad de todos nosotros y las empresas que crean y operan la columna vertebral de Internet, incluso si son privadas, tienen la máxima responsabilidad al respecto. Como dijo alguien, en un contexto completamente diferente pero muy relevante aquí: ‘Un gran poder conlleva una gran responsabilidad'».