Ejecutivos de alto rango en empresas con sede en los Estados Unidos son el objetivo de una nueva campaña de phishing que utiliza la popular herramienta de phishing conocida como EvilProxy para llevar a cabo la recolección de credenciales y ataques de apropiación de cuentas.
Menlo Security informó que esta actividad comenzó en julio de 2023, focalizándose principalmente en sectores como la banca y los servicios financieros, seguros, gestión de propiedades y bienes raíces, y fabricación.
Según Ravisankar Ramprasad, un investigador de seguridad, “los actores de amenazas aprovecharon una vulnerabilidad de redirección abierta en la plataforma de búsqueda de empleo ‘indeed.com’, redirigiendo a las víctimas a páginas de phishing maliciosas que se hacían pasar por Microsoft”, como se indicó en un informe publicado recientemente.
El EvilProxy, documentado por primera vez por Resecurity en septiembre de 2022, actúa como un proxy inverso que se interpone entre el objetivo y una página de inicio de sesión legítima para interceptar credenciales, códigos de autenticación de dos factores (2FA) y cookies de sesión, con el fin de apropiarse de cuentas de interés.
Los actores de amenazas responsables de este kit de phishing AiTM son rastreados por Microsoft bajo el nombre de Storm-0835 y se estima que tienen cientos de clientes.
“Estos ciberdelincuentes pagan tarifas mensuales que oscilan entre los $200 y los $1,000 dólares y realizan campañas de phishing a diario”, afirmó la gigante tecnológica. “Dado que tantos actores de amenazas utilizan estos servicios, resulta impracticable atribuir las campañas a actores específicos”.
En el último conjunto de ataques documentados por Menlo Security, las víctimas reciben correos electrónicos de phishing con un enlace engañoso que apunta a Indeed, y este, a su vez, redirige a las personas a una página de EvilProxy para recopilar las credenciales proporcionadas.
Este proceso se lleva a cabo aprovechando una vulnerabilidad de redirección abierta, que ocurre cuando una falta de validación de la entrada del usuario provoca que un sitio web vulnerable redireccione a los usuarios a páginas web arbitrarias, eludiendo así las medidas de seguridad.
El subdominio ‘t.indeed.com’ viene con parámetros para redireccionar al cliente a otro destino (ejemplo.com)”, comentó Ramprasad.
“Los parámetros en la URL que siguen al ‘?’ son una mezcla de parámetros exclusivos de indeed.com y el parámetro de destino cuyo argumento consiste en la URL de destino. Por lo tanto, cuando se hace clic en la URL, el usuario acaba siendo redirigido a example.com. En un ataque real, el usuario sería redirigido a una página de phishing”.
Este desarrollo coincide con el hecho de que los actores de amenazas están aprovechando Dropbox para crear páginas de inicio de sesión falsas con URL incrustadas que, al ser clicadas, redirigen a los usuarios a sitios falsos diseñados para robar credenciales de cuentas de Microsoft como parte de un esquema de compromiso de correo electrónico empresarial (BEC).
“Es otro ejemplo de cómo los hackers utilizan servicios legítimos en lo que llamamos ataques BEC 3.0”, mencionó Check Point. “Estos ataques son increíblemente difíciles de detener e identificar, tanto para los servicios de seguridad como para los usuarios finales”.
Microsoft, en su Informe de Defensa Digital, señaló cómo “los actores de amenazas están adaptando sus técnicas de ingeniería social y el uso de la tecnología para llevar a cabo ataques BEC más sofisticados y costosos” al abusar de la infraestructura basada en la nube y aprovechar relaciones comerciales de confianza.
Además, coincide con una advertencia del Servicio de Policía de Irlanda del Norte sobre un aumento en los correos electrónicos de phishing que implican el envío de un correo electrónico con un documento PDF o un archivo de imagen PNG que contiene un código QR en un intento de eludir la detección y engañar a las víctimas para que visiten sitios maliciosos y páginas de robo de credenciales.
fuente: thehackernews