{"id":989442,"date":"2023-10-09T14:24:53","date_gmt":"2023-10-09T14:24:53","guid":{"rendered":"https:\/\/teknomers.com\/es\/ciberdelincuentes-utilizan-el-kit-de-phishing-evilproxy-para-atacar-a-altos-ejecutivos-de-empresas-estadounidenses\/"},"modified":"2023-10-09T14:24:57","modified_gmt":"2023-10-09T14:24:57","slug":"ciberdelincuentes-utilizan-el-kit-de-phishing-evilproxy-para-atacar-a-altos-ejecutivos-de-empresas-estadounidenses","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/ciberdelincuentes-utilizan-el-kit-de-phishing-evilproxy-para-atacar-a-altos-ejecutivos-de-empresas-estadounidenses\/","title":{"rendered":"Ciberdelincuentes utilizan el kit de phishing EvilProxy para atacar a altos ejecutivos de empresas estadounidenses"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>09 de octubre de 2023<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Recolecci\u00f3n\/pirater\u00eda de credenciales<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los altos ejecutivos que trabajan en organizaciones con sede en EE. UU. est\u00e1n siendo atacados por una nueva campa\u00f1a de phishing que aprovecha un popular conjunto de herramientas de phishing de adversario en el medio (AiTM) llamado EvilProxy para llevar a cabo ataques de recolecci\u00f3n de credenciales y apropiaci\u00f3n de cuentas.<\/p>\n

Menlo Security dijo que la actividad comenz\u00f3 en julio de 2023, destacando principalmente los sectores de servicios bancarios y financieros, seguros, administraci\u00f3n de propiedades y bienes ra\u00edces y manufactura.<\/p>\n

“Los actores de la amenaza aprovecharon una vulnerabilidad de redirecci\u00f3n abierta en la plataforma de b\u00fasqueda de empleo ‘indeed.com’, redirigiendo a las v\u00edctimas a p\u00e1ginas de phishing maliciosas que se hacen pasar por Microsoft”, dijo el investigador de seguridad Ravisankar Ramprasad. dicho<\/a> en un informe publicado la semana pasada.<\/p>\n

EvilProxy, documentado por primera vez por Resecurity en septiembre de 2022, funciona como un proxy inverso que se configura entre el objetivo y una p\u00e1gina de inicio de sesi\u00f3n leg\u00edtima para interceptar credenciales, c\u00f3digos de autenticaci\u00f3n de dos factores (2FA) y cookies de sesi\u00f3n para secuestrar cuentas de inter\u00e9s.<\/p>\n

\"La<\/a><\/center><\/div>\n

Microsoft rastrea a los actores de amenazas detr\u00e1s del kit de phishing AiTM bajo el nombre de Storm-0835 y se estima que tienen cientos de clientes.<\/p>\n

“Estos ciberdelincuentes pagan tarifas de licencia mensuales que oscilan entre 200 y 1.000 d\u00f3lares estadounidenses y llevan a cabo campa\u00f1as de phishing diarias”, dijo el gigante tecnol\u00f3gico. “Debido a que tantos actores de amenazas utilizan estos servicios, no es pr\u00e1ctico atribuir campa\u00f1as a actores espec\u00edficos”.<\/p>\n

En el \u00faltimo conjunto de ataques documentados por Menlo Security, las v\u00edctimas reciben correos electr\u00f3nicos de phishing con un enlace enga\u00f1oso que apunta a Indeed, que, a su vez, redirige al individuo a una p\u00e1gina de EvilProxy para recopilar las credenciales ingresadas.<\/p>\n

Esto se logra aprovechando una falla de redirecci\u00f3n abierta<\/a>cual ocurre<\/a> cuando una falla al validar la entrada del usuario hace que un sitio web vulnerable redirija a los usuarios a p\u00e1ginas web arbitrarias, evitando las barreras de seguridad.<\/p>\n

\"Kit<\/a><\/div>\n

“El subdominio ‘t.indeed.com’ cuenta con par\u00e1metros para redirigir al cliente a otro destino (ejemplo.com)”, dijo Ramprasad.<\/p>\n

“Los par\u00e1metros en la URL que siguen al ‘?’ son una combinaci\u00f3n de par\u00e1metros exclusivos de Indeed.com y el par\u00e1metro de destino cuyo argumento consiste en la URL de destino. Por lo tanto, el usuario al hacer clic en la URL termina siendo redirigido a example.com. En un ataque real, el usuario ser\u00eda redirigido a una p\u00e1gina de phishing.”<\/p>\n

El desarrollo llega cuando los actores de amenazas est\u00e1n aprovechando Dropbox para crear p\u00e1ginas de inicio de sesi\u00f3n falsas con URL incrustadas que, cuando se hace clic en ellas, redirigen a los usuarios a sitios falsos dise\u00f1ados para robar credenciales de cuentas de Microsoft como parte de un esquema de compromiso de correo electr\u00f3nico empresarial (BEC).<\/p>\n

\"La<\/a><\/center><\/div>\n

“Es otro ejemplo m\u00e1s de c\u00f3mo los piratas inform\u00e1ticos utilizan servicios leg\u00edtimos en lo que llamamos ataques BEC 3.0”, Check Point dicho<\/a>. “Estos ataques son incre\u00edblemente dif\u00edciles de detener e identificar, tanto para los servicios de seguridad como para los usuarios finales”.<\/p>\n

Microsoft, en su Informe de Defensa Digital, se\u00f1al\u00f3 c\u00f3mo “los actores de amenazas est\u00e1n adaptando sus t\u00e9cnicas de ingenier\u00eda social y el uso de la tecnolog\u00eda para llevar a cabo ataques BEC m\u00e1s sofisticados y costosos” al abusar de la infraestructura basada en la nube y explotar las relaciones comerciales confiables.<\/p>\n

Tambi\u00e9n viene como Servicio de Polic\u00eda de Irlanda del Norte. prevenido<\/a> de un aumento en los correos electr\u00f3nicos qishing, que implican el env\u00edo de un correo electr\u00f3nico con un documento PDF o un archivo de imagen PNG que contiene un c\u00f3digo QR en un intento de eludir la detecci\u00f3n y enga\u00f1ar a las v\u00edctimas para que visiten sitios maliciosos y p\u00e1ginas de recolecci\u00f3n de credenciales.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n