Microsoft ha advertido sobre una campaña de phishing de credenciales generalizada que utiliza enlaces de redireccionamiento abiertos como un vector para engañar a los usuarios para que visiten páginas webs maliciosas y terminar robándoles sus credenciales.
"Los atacantes combinan estos enlaces con cebos de ingeniería social que se hacen pasar por herramientas y servicios de productividad conocidos para atraer a los usuarios a hacer clic. Hacerlo conduce a una serie de redirecciones, incluida una página de verificación CAPTCHA que agrega un sentido de legitimidad e intenta evadir algunos sistemas de análisis automatizados, antes de llevar al usuario a una página de inicio de sesión falsa. En última instancia, esto conduce al compromiso de las credenciales, lo que abre al usuario y su organización a otros ataques", ha explicado la compañía en una entrada de su blog.
Según señala Microsoft, los redireccionamientos abiertos en las comunicaciones por correo electrónico son bastante comunes entre las organizaciones y tienen usos legítimos. Por ejemplo, se utilizan en las campañas de ventas y de marketing para llevar a los clientes a páginas de destino específicas y recopilar métricas web. Sin embargo, apunta que los atacantes podrían abusar de ellos para enlazar a una URL en un dominio fiable e incrustar la URL maliciosa como parámetro. "Dicho abuso puede impedir que los usuarios y las soluciones de seguridad reconozcan rápidamente posibles intenciones maliciosas".
El truco de esta campaña y su cadena de ataque
La estratagema de este ataque se basa en el consejo a los usuarios de que pasen el cursor sobre un enlace en un correo electrónico para verificar el destino antes de hacer clic.
"Una vez que los destinatarios colocan el cursor sobre el vínculo o el botón del correo electrónico, se les muestra la URL completa. Sin embargo, dado que los actores configuran enlaces de redireccionamiento abiertos mediante un servicio legítimo, los usuarios ven un nombre de dominio legítimo que probablemente esté asociado con una empresa que conocen y en la que confían. Creemos que los atacantes abusan de esta plataforma abierta y confiable para intentar evadir la detección mientras redirigen a las víctimas potenciales a sitios de phishing", alerta Microsoft.
En el momento de escribir su publicación, el equipo de inteligencia de amenazas de Microsoft 365 Defender había detectado al menos 350 dominios de phishing utilizados para esta campaña, que incluyen dominios de correo electrónico gratuitos, dominios comprometidos y dominios creados automáticamente por el algoritmo del atacante. "Esto no solo muestra la escala con la que se está llevando a cabo este ataque, sino que también demuestra cuánto están invirtiendo los atacantes en él, lo que indica beneficios potencialmente significativos".
Los encabezados del asunto de los correos electrónicos se adaptan a la herramienta que están suplantando, como una notificación de correo no deseado de Office 365 o una alerta de calendario para una reunión de Zoom.
"Si el usuario ingresa su contraseña, la página se actualiza y muestra un mensaje de error que indica que se agotó el tiempo de espera de la página o que la contraseña era incorrecta y que debe ingresar su contraseña nuevamente. Esto probablemente se hace para que el usuario ingrese su contraseña dos veces, permitiendo a los atacantes asegurarse de obtener la contraseña correcta.
"Una vez que el usuario ingresa su contraseña por segunda vez, la página dirige a un sitio web legítimo de Sophos que afirma que el mensaje de correo electrónico ha sido publicado. Esto agrega otra capa de falsa legitimidad a la campaña de phishing", detalla el gigante informático.
Microsoft también destaca que esta campaña de phishing ejemplifica la "tormenta perfecta" de mezclar los tres elementos que hacen que las amenazas de correo electrónico sean efectivas: un señuelo de ingeniería social convincente, una técnica de evasión de detección bien diseñada y una infraestructura duradera para llevar a cabo un ataque. "Y dado que el 91% de todos los ciberataques se originan en el correo electrónico , las organizaciones deben tener una solución de seguridad que les proporcione una defensa multicapa contra este tipo de ataques", subraya.