Ciberdelincuentes han desarrollado una técnica de 'phishing' consistente en el envío de notificaciones legítimas de SharePoint capaces de sortear las medidas 'antispam' del correo electrónico, a pesar de que integran enlaces fraudulentos que les permiten acceder a información de sus víctimas.
El 'phishing' es una técnica consistente en el envío de un correo electrónico por parte de un usuarios malintencionados simulando ser una entidad legítima, como una red social o un banco, con el objetivo de robar información confidencial o promover acciones ilegítimas, como realizar transacciones económicas.
Una investigación llevada a cabo por Avanan en 2018 determinó que los cibercriminales habían empezado a implementar un nuevo formato de robo de información a través de la herramienta de colaboración empresarial Sharepoint, que habría afectado entonces a aproximadamente el 10 por ciento de los clientes de Microsoft Office 365 a nivel mundial, y que se ha extendido hasta la actualidad.
Esta compañía de soluciones de seguridad indicó entonces que los piratas informáticos utilizaban SharePoint para alojar enlaces de 'phishing' e insertarlos en documentos enviados a través de este servicio de Microsoft.
Esta estafa comienza cuando la víctima recibe un correo electrónico que contiene, presuntamente, un enlace a un documento de SharePoint. A pesar de ser fraudulento, este correo electrónico pasa desapercibido porque el cuerpo del mensaje es idéntico a una invitación estándar de esta herramienta de Microsoft para colaborar.
Una vez hecho clic sobre este enlace, se abre un documento que se hace pasar por una solicitud de acceso estándar a un archivo de OneDrive aunque, precisamente el hipervínculo que permite el 'Acceso al documento' es malicioso.
Este, entonces, dirige al usuario a una pantalla de inicio de sesión de Office 365 falsificada, de modo que, cuando el usuario introduce sus credenciales, los agentes maliciosos las recopilan y las guardan para usos no autorizados.
Desde Avanan matizaron en su investigación que, a pesar de que Microsoft implementaba medidas de seguridad en sus servicios --especialmente en Outlook, a través del cual se propaga la mayoría de estos ataques--, los atacantes aprovechaban «una falla crítica en Office 365» para propagar esta campaña.
Concretamente, el llamado 'PhishPoint' puede eludir la seguridad de este servicio de Microsoft porque Office 365 analiza los vínculos en los cuerpos de los correos electrónicos, pero en estos 'emails' fraudulentos los enlaces sí que llevan a documentos de SharePoint reales y legítimos. Es dentro de ellos donde se introducen los enlaces maliciosos.
Envío de notificaciones legítimas
Este método de ataque ha sufrido una ligera variación según ha informado recientemente Kaspersky, que ha dado a conocer su nueva iteración mediante el envío de notificaciones legítimas por parte de SharePoint.
Gracias a este nuevo formato, los ciberdelincuentes pueden sortear la vigilancia de los empleados con más nociones tecnológicas, puesto que estas alertas se envían en nombre de la organización o empresa para la que trabajan.
Las víctimas reciben un mensaje que explica que alguien ha compartido un archivo de OneNote con ellos a través de SharePoint. Debido a que el correo es legítimo, evita los controles de 'spam' de Microsoft Outlook «más fácilmente» que un enlace de 'phishing' oculto en un servidor de esta herramienta colaborativa, según la firma de seguridad.
Una vez hecho clic sobre el enlace, se redirige a la víctima hacia una notificación de archivo de OneNote que, a su vez, incluye un enlace de 'phishing' estándar que presuntamente permite abrir este documento y que aparece identificado como 'Click view' (Haz clic aquí para visualizarlo).
En realidad, este enlace conduce a una web de 'phishing' que imita la página de Microsoft OneDrive, que los estafadores utilizan para robar credenciales de cuentas como Yahoo!, AOL y Outlook; y plataformas como Microsoft Office 365.
Cómo actuar
Los expertos de Kaspersky han descubierto más de 1.600 notificaciones maliciosas de este tipo entre diciembre de 2022 y febrero de 2023 en empresas de Europa -estando España entre los países afectados-, América del Norte y otras regiones como Rusia y Singapur.
Debido a que este 'malware' no es tan sencillo de distinguir como otras estafas de este tipo, es recomendable tener en cuenta dos aspectos clave para protegerse de él. En primer lugar, se debe valorar el lenguaje utilizado en estos correos electrónicos y desconfiar de palabras o frases que generen presión, como 'Urgente' o 'Acción requerida'.
También conviene sospechar de las URL introducidas en el cuerpo de los correos electrónicos, debido a que no es tan habitual el envío de enlaces para acceder a servicios como SharePoint. Asimismo, se debe analizar esta dirección para ver si realmente se aloja en el servicio en el que se solicita el inicio de sesión.
Sin comentarios
Para comentar es necesario estar registrado en Ultima Hora
De momento no hay comentarios.