Los actores de amenazas apuntan a Office 365 y Google Workspace en una nueva campaña, que utiliza un dominio legítimo asociado con un centro de seguridad vial en Moscú para enviar mensajes
Los atacantes están falsificando las notificaciones de mensajes de voz de WhatsApp en una campaña de phishing maliciosa que utiliza un dominio legítimo para propagar un malware que roba información, según descubrieron los investigadores.
Los investigadores de la firma de seguridad de correo electrónico en la nube Armorblox descubrieron la campaña maliciosa dirigida a las cuentas de Office 365 y Google Workspace utilizando correos electrónicos enviados desde un dominio asociado con el Centro para la Seguridad Vial, una entidad que se cree que reside en la región de Moscú, Rusia. El sitio en sí es legítimo, ya que está conectado con las operaciones de Seguridad Vial Estatal de Moscú y pertenece al Ministerio del Interior de la Federación Rusa, según una publicación de blog publicada el martes.
Hasta ahora, los atacantes han llegado a unos 27.660 buzones de correo con la campaña, que falsifica WhatsApp al informar a las víctimas que tienen un "nuevo mensaje de voz privado" de la aplicación de chat e incluye un enlace que pretende permitirles reproducirlo, dijeron los investigadores. Las organizaciones objetivo incluyen atención médica, educación y comercio minorista, dijeron los investigadores.
El ataque “emplea una gama de técnicas para superar los filtros de seguridad de correo electrónico tradicionales y pasar las pruebas oculares de las víctimas desprevenidas”, escribió en la publicación la gerente de marketing de productos de Armorblox, Lauryn Cash.
Esas tácticas incluyen ingeniería social al generar confianza y urgencia en los correos electrónicos enviados a las víctimas; suplantación de identidad de marca suplantando WhatsApp; la explotación de un dominio legítimo desde el que enviar los correos electrónicos; y la replicación de los flujos de trabajo existentes, es decir, recibir una notificación por correo electrónico de un mensaje de voz, explicó Cash.
Cómo funciona
Las posibles víctimas de la campaña reciben un correo electrónico con el título "Nuevo mensaje de voz entrante" que incluye un encabezado en el cuerpo del correo electrónico que reitera este título. El cuerpo del correo electrónico falsifica un mensaje seguro de WhatsApp y le dice a la víctima que ha recibido un nuevo mensaje de voz privado, incluido un botón de "Reproducir" para que supuestamente pueda escuchar el mensaje.
El dominio del remitente del correo electrónico era "mailman.cbddmo.ru", que los investigadores de Amorblox vincularon a la página del centro de seguridad vial de la región de Moscú, un sitio legítimo que permite que los correos electrónicos pasen los controles de autenticación de Microsoft y Google, dijeron. . Sin embargo, es posible que los atacantes explotaran una versión obsoleta o antigua del dominio principal de esta organización para enviar correos electrónicos maliciosos, reconocieron.
Si el destinatario hace clic en el enlace "Reproducir" del correo electrónico, se le redirige a una página que intenta instalar un caballo de Troya JS/Kryptik, un código JavaScript ofuscado malicioso incrustado en páginas HTML que redirige el navegador a una URL maliciosa e implementa un exploit específico, según la publicación.
Una vez que el objetivo aterriza en la página maliciosa, un aviso pide confirmación de que la víctima no es un robot. Luego, si la víctima hace clic en "permitir" en la notificación emergente en la URL, un servicio de anuncios del navegador puede instalar la carga útil maliciosa como una aplicación de Windows, lo que le permite eludir el Control de cuentas de usuario.“Una vez que se instaló el malware… puede robar información confidencial como credenciales que se almacenan en el navegador”, escribió Cash.
Dirigirse a consumidores desprevenidos
Si bien la campaña parece estar enfocada en los consumidores en lugar de las empresas, podría ser una amenaza para las redes corporativas si las víctimas muerden el anzuelo y se instala el malware, señaló un profesional de seguridad.
“La complejidad y sofisticación de las técnicas hacen que sea muy difícil para el consumidor promedio detectar un intento malicioso”, escribió en un correo electrónico a Threatpost Purandar Das, director ejecutivo y cofundador de Sotero, una empresa de soluciones de seguridad de datos basada en cifrado. “Posiblemente podría ver una ruta en la que pueden recopilar información comercial una vez que el malware se implementa y activa”.
“Dirigirse a los consumidores es un camino exitoso para los ciberdelincuentes, ya que las personas parecen bajar la guardia más con la comunicación electrónica que con la comunicación de la vida real”, señaló otro profesional de seguridad. La persona promedio a menudo cae en estafas en línea si está familiarizada con la plataforma de redes sociales que dice ser el remitente del mensaje”, escribió James McQuiggan, defensor de la conciencia de seguridad en la firma de seguridad KnowBe4, en un correo electrónico a Threatpost.
“Cuando lo vean, la mayoría de la gente reconocerá a alguien que intenta estafarlos en la vida real”, dijo, citando un ejemplo de un comerciante callejero de la ciudad de Nueva York que intenta venderle a un transeúnte un reloj o un bolso de marca falsos. “La mayoría de la gente sabrá que son falsos y seguirán caminando. McQuiggan observó.
Sin embargo, es posible que muchas personas no reconozcan que un correo electrónico que afirma tener un correo de voz de una aplicación de mensajería popular u otra plataforma de redes sociales es una estafa y lo aceptan, dijo.“Los usuarios aceptan demasiado los correos electrónicos”, dijo McQuiggan. “Debe haber más educación para todos, no solo dentro de las organizaciones, para detectar la ingeniería social electrónica o las estafas, de modo que parezca que alguien está tratando de vender un reloj o un bolso falso en la calle”.
Historias relacionadas :
WhatsApp para iOS : está trabajando en una encuesta para chats grupales y más
WhatsApp Web versus WhatsApp de Escritorio: ¿Cuál prefieres?
WhatsApp: cómo funciona el botón que te permitirá pausar la grabación de los audios
WhatsApp :La interrupción llego afectar el comercio y hasta petróleo
Redes sociales:Inhabilitados WhatsApp, Instagram y Facebook
Ahora WhatsApp podría aperturar la misma cuenta en dos celulares
[Fuente]: threatpost.com
mohamed_hassan.( 6 de Abril de 2022).5725 images. Modificado por Carlos Zambrado Recuperado pixabay.com
