Los investigadores de ciberseguridad están llamando la atención sobre un nuevo tipo de esquema de phishing de credenciales que garantiza que la información robada esté asociada con cuentas en línea válidas.
Cofense ha bautizado la técnica como «phishing con validación de precisión» y afirma que emplea una validación de correo electrónico en tiempo real para que solo un grupo selecto de objetivos de alto valor vean las pantallas de inicio de sesión falsas.
«Esta táctica no solo brinda a los actores de amenazas una mayor tasa de éxito en la obtención de credenciales utilizables, ya que solo interactúan con una lista específica previamente recopilada de cuentas de correo electrónico válidas», dijo la compañía .
A diferencia de las campañas de recolección de credenciales del tipo «spray-and-pray» que generalmente implican la distribución masiva de correos electrónicos spam para obtener la información de inicio de sesión de las víctimas de manera indiscriminada, la última táctica de ataque lleva el spear-phishing al siguiente nivel al interactuar únicamente con direcciones de correo electrónico que los atacantes han verificado como activas, legítimas y de alto valor.
En este escenario, la dirección de correo electrónico introducida por la víctima en una página de phishing se valida con la base de datos del atacante, tras lo cual se muestra la página de inicio de sesión falsa. Si la dirección de correo electrónico no existe en la base de datos, la página devuelve un error o se redirige al usuario a una página inofensiva como Wikipedia para evadir el análisis de seguridad.
Las comprobaciones se llevan a cabo integrando un servicio de validación basado en API o JavaScript en el kit de phishing que confirma la dirección de correo electrónico antes de proceder al paso de captura de la contraseña.
«Aumenta la eficiencia del ataque y la probabilidad de que las credenciales robadas pertenezcan a cuentas reales y de uso activo, lo que mejora la calidad de los datos recopilados para su reventa o posterior explotación», afirmó Cofense.
Los rastreadores de seguridad automatizados y los entornos sandbox también tienen dificultades para analizar estos ataques porque no pueden eludir el filtro de validación. Este enfoque específico reduce el riesgo de los atacantes y prolonga la vida útil de las campañas de phishing.
El desarrollo se produce cuando la empresa de ciberseguridad también reveló detalles de una campaña de phishing por correo electrónico que utiliza recordatorios de eliminación de archivos como señuelo para obtener credenciales y distribuir malware.
El ataque de dos frentes utiliza una URL incrustada que aparentemente dirige a un archivo PDF que está programado para ser eliminado de un servicio legítimo de almacenamiento de archivos llamado files.fm. Si el destinatario del mensaje hace clic en el enlace, se le redirige a un enlace legítimo de files.fm desde donde puede descargar el supuesto archivo PDF.
Sin embargo, al abrir el PDF , se presentan dos opciones: previsualizarlo o descargarlo. Quienes optan por la primera opción son redirigidos a una pantalla de inicio de sesión falsa de Microsoft diseñada para robar sus credenciales. Al seleccionar la opción de descarga, se descarga un ejecutable que se hace pasar por Microsoft OneDrive, pero que en realidad es el software de escritorio remoto ScreenConnect de ConnectWise.
Es «casi como si el atacante hubiera diseñado el ataque intencionalmente para atrapar al usuario, obligándolo a elegir en qué ‘veneno’ caerá», dijo Cofense . «Ambas opciones conducen al mismo resultado, con objetivos similares, pero con diferentes enfoques para lograrlos».
Los hallazgos también se producen tras el descubrimiento de un sofisticado ataque multietapa que combina vishing, herramientas de acceso remoto y técnicas de «living off the land» para obtener acceso inicial y establecer persistencia. La actividad observada en la actividad es consistente con los clústeres rastreados como Storm-1811 y STAC5777 .
El actor de amenazas explotó los canales de comunicación expuestos mediante la entrega de una carga útil maliciosa de PowerShell a través de un mensaje de Microsoft Teams, seguido del uso de Quick Assist para acceder remotamente al entorno, declaró Ontinue . Esto condujo a la implementación de binarios firmados (p. ej., TeamViewer.exe), una DLL maliciosa transferida (TV.dll) y, finalmente, una puerta trasera C2 basada en JavaScript ejecutada mediante Node.js.
Fuente y redacción: thehackernews.com
