Los altos ejecutivos que trabajan en organizaciones con sede en EE. UU. están siendo atacados por una nueva campaña de phishing que aprovecha un popular conjunto de herramientas de phishing de adversario en el medio (AiTM) llamado EvilProxy para llevar a cabo ataques de recolección de credenciales y apropiación de cuentas.
Menlo Security dijo que la actividad comenzó en julio de 2023, destacando principalmente los sectores de servicios bancarios y financieros, seguros, administración de propiedades y bienes raíces y manufactura.
«Los actores de la amenaza aprovecharon una vulnerabilidad de redirección abierta en la plataforma de búsqueda de empleo ‘indeed.com’, redirigiendo a las víctimas a páginas de phishing maliciosas que se hacen pasar por Microsoft», dijo el investigador de seguridad Ravisankar Ramprasad. dicho en un informe publicado la semana pasada.
EvilProxy, documentado por primera vez por Resecurity en septiembre de 2022, funciona como un proxy inverso que se configura entre el objetivo y una página de inicio de sesión legítima para interceptar credenciales, códigos de autenticación de dos factores (2FA) y cookies de sesión para secuestrar cuentas de interés.
Microsoft rastrea a los actores de amenazas detrás del kit de phishing AiTM bajo el nombre de Storm-0835 y se estima que tienen cientos de clientes.
«Estos ciberdelincuentes pagan tarifas de licencia mensuales que oscilan entre 200 y 1.000 dólares estadounidenses y llevan a cabo campañas de phishing diarias», dijo el gigante tecnológico. «Debido a que tantos actores de amenazas utilizan estos servicios, no es práctico atribuir campañas a actores específicos».
En el último conjunto de ataques documentados por Menlo Security, las víctimas reciben correos electrónicos de phishing con un enlace engañoso que apunta a Indeed, que, a su vez, redirige al individuo a una página de EvilProxy para recopilar las credenciales ingresadas.
Esto se logra aprovechando una falla de redirección abiertacual ocurre cuando una falla al validar la entrada del usuario hace que un sitio web vulnerable redirija a los usuarios a páginas web arbitrarias, evitando las barreras de seguridad.
«El subdominio ‘t.indeed.com’ cuenta con parámetros para redirigir al cliente a otro destino (ejemplo.com)», dijo Ramprasad.
«Los parámetros en la URL que siguen al ‘?’ son una combinación de parámetros exclusivos de Indeed.com y el parámetro de destino cuyo argumento consiste en la URL de destino. Por lo tanto, el usuario al hacer clic en la URL termina siendo redirigido a example.com. En un ataque real, el usuario sería redirigido a una página de phishing.»
El desarrollo llega cuando los actores de amenazas están aprovechando Dropbox para crear páginas de inicio de sesión falsas con URL incrustadas que, cuando se hace clic en ellas, redirigen a los usuarios a sitios falsos diseñados para robar credenciales de cuentas de Microsoft como parte de un esquema de compromiso de correo electrónico empresarial (BEC).
«Es otro ejemplo más de cómo los piratas informáticos utilizan servicios legítimos en lo que llamamos ataques BEC 3.0», Check Point dicho. «Estos ataques son increíblemente difíciles de detener e identificar, tanto para los servicios de seguridad como para los usuarios finales».
Microsoft, en su Informe de Defensa Digital, señaló cómo «los actores de amenazas están adaptando sus técnicas de ingeniería social y el uso de la tecnología para llevar a cabo ataques BEC más sofisticados y costosos» al abusar de la infraestructura basada en la nube y explotar las relaciones comerciales confiables.
También viene como Servicio de Policía de Irlanda del Norte. prevenido de un aumento en los correos electrónicos qishing, que implican el envío de un correo electrónico con un documento PDF o un archivo de imagen PNG que contiene un código QR en un intento de eludir la detección y engañar a las víctimas para que visiten sitios maliciosos y páginas de recolección de credenciales.