Microsoft advierte sobre ataques de phishing generalizados mediante redireccionamientos abiertos

Microsoft advierte sobre una campaña de suplantación de identidad de credenciales generalizada que aprovecha los enlaces de redireccionamiento abiertos en las comunicaciones por correo electrónico como un vector para engañar a los usuarios para que visiten sitios web maliciosos sin pasar por alto el software de seguridad.

«Los atacantes combinan estos enlaces con cebos de ingeniería social que se hacen pasar por herramientas y servicios de productividad conocidos para atraer a los usuarios a hacer clic», dijo el equipo de inteligencia de amenazas de Microsoft 365 Defender en un informe publicado esta semana.

«Hacerlo conduce a una serie de redirecciones, incluida una página de verificación CAPTCHA que agrega un sentido de legitimidad e intenta evadir algunos sistemas de análisis automatizados, antes de llevar al usuario a una página de inicio de sesión falsa. Esto, en última instancia, conduce a un compromiso de credenciales, lo que abre al usuario y su organización a otros ataques «.

Aunque los enlaces de redireccionamiento en los mensajes de correo electrónico son una herramienta vital para llevar a los destinatarios a sitios web de terceros o realizar un seguimiento de las tasas de clics y medir el éxito de las campañas de ventas y marketing, los adversarios pueden abusar de la misma técnica para redirigir dichos enlaces a su propia infraestructura, en al mismo tiempo, se mantiene intacto el dominio de confianza en la URL completa para evadir el análisis de los motores anti-malware, incluso cuando los usuarios intentan desplazarse sobre los enlaces para comprobar si hay signos de contenido sospechoso.

redireccionamiento abierto de phishing

Para llevar a las víctimas potenciales a sitios de phishing, las URL de redireccionamiento incrustadas en el mensaje se configuran mediante un servicio legítimo, mientras que los dominios finales controlados por el actor contenidos en el enlace aprovechan los dominios de nivel superior .xyz, .club, .shop, y .online (por ejemplo, «c-tl [.] xyz»), pero que se pasan como parámetros para escabullirse de las soluciones de pasarela de correo electrónico.

Microsoft dijo que observó al menos 350 dominios de phishing únicos como parte de la campaña, otro intento de ocultar la detección, subrayando el uso efectivo de la campaña de señuelos de ingeniería social convincentes que pretenden ser mensajes de notificación de aplicaciones como Office 365 y Zoom, un sistema bien diseñado. técnica de detección de evasión y una infraestructura duradera para llevar a cabo los ataques.

«Esto no solo muestra la escala con la que se está llevando a cabo este ataque, sino que también demuestra cuánto están invirtiendo los atacantes en él, lo que indica beneficios potencialmente significativos», dijeron los investigadores.

Para darle al ataque una apariencia de autenticidad, hacer clic en el enlace especialmente diseñado redirige a los usuarios a una página de destino maliciosa que emplea Google reCAPTCHA para bloquear cualquier intento de escaneo dinámico. Una vez completada la verificación CAPTCHA, a las víctimas se les muestra una página de inicio de sesión fraudulenta que imita un servicio conocido como Microsoft Office 365, solo para deslizar sus contraseñas al enviar la información.

«Esta campaña de phishing ejemplifica la tormenta perfecta de [ingeniería social, evasión de detección y una gran infraestructura de ataque] en su intento de robar credenciales y finalmente infiltrarse en una red», señalaron los investigadores. «Y dado que el 91% de todos los ciberataques se originan en el correo electrónico , las organizaciones deben tener una solución de seguridad que les proporcione una defensa de varios niveles contra este tipo de ataques».

Fuente: https://thehackernews.com/2021/08/microsoft-warns-of-widespread-phishing.html

Daniel Perez

Daniel Perez

Dejar un comentario

Este sitio web utiliza cookies para garantizar que obtenga la mejor experiencia. Más información