Hace ya casi de dos años, en enero de 2020, que los investigadores de Group-IB se toparon con una campaña de phising que se llevó a cabo con éxito para comprometer las cuentas de email de al menos 156 funcionarios de algo rango. En aquel momento se la bautizó como 'PerSwaysion' y se descubrió que en realidad llevaba en curso desde 2019.
Cuando fue identificada esta campaña orientada al robo de credenciales había extendido sus tentáculos a centros financieros de Alemania, los Países Bajos, Reino Unido y Hong Kong.
Sin embargo, un nuevo informe proporcionado por SeclarityIO muestra que su recorrido es bastante más amplio. Este data su nacimiento en octubre de 2017 y asegura que la amenaza continúa activa en todo el mundo.
Un análisis de datos de URLscan pone de manifiesto que en el último año y medio se han usado unos 444 portales de phishing únicos para apuntar a 7.403 personas de 14 sectores industriales como parte de la campaña.
Además, también se tienen evidencias de que PerSwaysion ha ocasionado víctimas en sectores como la ingeniería, los servicos financieros, las farmaceúticas, la salud, el aeroespacial y en el propio gobierno de EE.UU.
PerSwaysion se aprovecha de los servicios de intercambio de archivos de Microsoft, como Sway, SharePoint y OneNote, para llevar a los usuarios a sitios de robo de credenciales.
Cómo opera PerSwaysion
Desde Group-IB destacaron en su momento que el kit de phishing contiene plantillas de suplantación de ocho marcas conocidas para engañar a los usuarios.
SeclarityIO ha encontrado dos estrategias adicionales que han sido empleadas recientemente. La primera técnica implica el uso de JavaScript para empaquetar el código malicioso y la segunda usa una configuración para bloquear el análisis de las herramientas de desarrollo de Chrome.
En algunos ataques los actores de amenazas también utilizaron acortadores de URL como bit.ly y tiny.cc para eludir los filtros de correo electrónico. Otras tácticas incluyeron redirigir a los usuarios a sitios web legítimos pero comprometidos a través de anuncios online y otros sitios web falsos.