Los actores de la amenaza apuntan a Office 365 y Google Workspace en una nueva campaña, que utiliza un dominio legítimo asociado a un centro de seguridad vial en Moscú para enviar mensajes.
Los atacantes están suplantando las notificaciones de mensajes de voz de WhatsApp en una campaña de phishing malicioso que utiliza un dominio legítimo para difundir un malware que roba información, según han descubierto los investigadores.
Los investigadores de la empresa de seguridad de correo electrónico en la nube Armorblox descubrieron la campaña maliciosa dirigida a cuentas de Office 365 y Google Workspace utilizando correos electrónicos enviados desde el dominio asociado con el Centro de Seguridad Vial, una entidad que se cree que reside en la región de Moscú, Rusia. El sitio en sí es legítimo, ya que está conectado a las operaciones de Seguridad Vial del Estado para Moscú y pertenece al Ministerio del Interior de la Federación Rusa.
Hasta ahora, los atacantes han llegado a unos 27.660 buzones de correo con la campaña, que falsifica WhatsApp informando a las víctimas de que tienen un «nuevo mensaje de voz privado» de la aplicación de chat e incluye un enlace que supuestamente les permite reproducirlo, dijeron los investigadores. Entre las organizaciones a las que se dirige el ataque se encuentran los sectores de la sanidad, la educación y el comercio minorista, según los investigadores.
El ataque «emplea una serie de técnicas para superar los filtros de seguridad tradicionales del correo electrónico y pasar las pruebas de los ojos de las víctimas desprevenidas», escribió en el post la directora de marketing de productos de Armorblox, Lauryn Cash.
Estas tácticas incluyen la ingeniería social mediante la obtención de confianza y urgencia en los correos electrónicos enviados a las víctimas; la suplantación de marca mediante la suplantación de WhatsApp; la explotación de un dominio legítimo desde el que enviar los correos electrónicos; y la replicación de los flujos de trabajo existentes, es decir, obtener una notificación por correo electrónico de un mensaje de voz, explicó Cash.
Cómo funciona
Las víctimas potenciales de la campaña reciben un correo electrónico con el título «Nuevo mensaje de voz entrante» que incluye un encabezado en el cuerpo del correo electrónico que reitera este título. El cuerpo del correo electrónico falsifica un mensaje seguro de WhatsApp e indica a la víctima que ha recibido un nuevo mensaje de voz privado, incluyendo un botón de «Play» para que supuestamente pueda escuchar el mensaje.
El dominio del remitente del correo electrónico era «mailman.cbddmo.ru», que los investigadores de Amorblox vincularon a la página del centro de seguridad vial de la región de Moscú, un sitio legítimo que permite que los correos electrónicos pasen las comprobaciones de autenticación de Microsoft y Google, dijeron. Sin embargo, es posible que los atacantes hayan aprovechado una versión obsoleta o antigua del dominio principal de esta organización para enviar los correos electrónicos maliciosos, reconocieron.
Si el destinatario hace clic en el enlace «Play» del correo electrónico, es redirigido a una página que intenta instalar un troyano JS/Kryptik, un código JavaScript malicioso ofuscado incrustado en páginas HTML que redirige el navegador a una URL maliciosa e implementa un exploit específico, según la publicación.
Una vez que el objetivo aterriza en la página maliciosa, un aviso pide confirmación de que la víctima no es un robot. A continuación, si la víctima hace clic en «permitir» en la notificación emergente de la URL, un servicio de anuncios del navegador puede instalar la carga útil maliciosa como una aplicación de Windows, lo que le permite eludir el Control de Cuentas de Usuario.
«Una vez instalado el malware … puede robar información sensible como las credenciales que se almacenan dentro del navegador», escribió Cash.
Dirigido a los consumidores desprevenidos
Aunque la campaña parece estar centrada en los consumidores más que en las empresas, podría ser una amenaza para las redes corporativas si las víctimas muerden el anzuelo y se instala el malware, señaló un profesional de la seguridad.
«La complejidad y sofisticación de las técnicas hacen que sea muy difícil para el consumidor medio detectar un intento malicioso», escribió Purandar Das, director general y cofundador de Sotero, una empresa de soluciones de seguridad de datos basadas en el cifrado, en un correo electrónico a Threatpost. «Se podría ver potencialmente un camino en el que son capaces de recopilar información comercial una vez que el malware está desplegado y activo».
«Dirigirse a los consumidores es una vía exitosa para los ciberdelincuentes, ya que la gente parece bajar la guardia más con la comunicación electrónica que con la de la vida real, señaló otro profesional de la seguridad. La persona media suele caer en las estafas en línea si está familiarizada con la plataforma de medios sociales que dice ser el remitente del mensaje», escribió James McQuiggan, defensor de la concienciación sobre la seguridad en la empresa de seguridad KnowBe4, en un correo electrónico a Threatpost.
«Cuando lo vean, la mayoría de la gente reconocerá a alguien que intenta estafarles en la vida real», dijo, citando el ejemplo de un comerciante callejero de Nueva York que intenta vender a un transeúnte un reloj o un bolso de marca falsos. «La mayoría de la gente sabrá que son falsos y seguirá caminando». observó McQuiggan.
Sin embargo, mucha gente puede no reconocer que un correo electrónico que dice tener un buzón de voz de una popular aplicación de mensajería u otra plataforma de medios sociales es una estafa y seguirle la corriente, dijo.
«Los usuarios aceptan demasiado los correos electrónicos», dijo McQuiggan. «Tiene que haber más educación para todo el mundo, no sólo dentro de las organizaciones, para detectar la ingeniería social electrónica o las estafas, para que sea evidente como alguien que está tratando de vender un reloj o un bolso falso en la calle».