Nueva campaña de phishing usa OneDrive como gancho para robar contraseñas

El phishing no ha parado de crecer desde hace unos meses, tal y como indicamos en una entrada anterior de este blog, y eso se nota en la cantidad de correos que recibimos y que intentan obtener las credenciales de acceso a varios servicios online. En los últimos días hemos detectado una nueva campaña que utiliza el servicio de almacenamiento en la nube OneDrive de Microsoft como gancho para engañar a los usuarios, campaña que procedemos a analizar a continuación.

Falso correo de Microsoft

Como suele suceder en la mayoría de casos similares, el vector de ataque utilizado por los delincuentes es el correo electrónico, correo que, en esta ocasión, parece provenir desde Microsoft. En este mensaje se nos indica que tenemos dos archivos pendientes de revisión en nuestro almacenamiento en OneDrive, estando el nombre de estos archivos relacionados con supuestas facturas.

Ejemplo de correo utilizado en esta campaña de phishing

Si nos fijamos en los puntos clave a tener en cuenta para determinar si estamos ante un correo legítimo o uno fraudulento veremos que hay algo que no cuadra. Para empezar, el mensaje solo se envía en inglés (al menos en esta campaña) cuando Microsoft cuenta con traducciones de este servicio a múltiples idiomas. El segundo punto importante es la dirección URL a las que se nos pretende dirigir y que nada tiene que ver con una dirección legítima de Microsoft, punto que revisaremos más adelante.

Respecto a la cabecera del correo, un simple vistazo nos demuestra que ese correo no ha salido de ningún servidor autorizado de Microsoft. En cambio, vemos como el dominio utilizado para enviarlo pertenece a un proveedor de servicios de hosting web sin una relación aparente con la empresa de Redmond.

Cabecera del correo fraudulento

Preparando el phishing

Si el usuario muerde el anzuelo preparado por los atacantes y accede a la web fraudulenta se nos mostrarán los supuestos ficheros con las facturas mencionadas en el correo. Justo debajo se visualiza un botón para “abrir” estos documentos, algo que invita a pulsarlo. Como detalle curioso se puede observar un aviso indicando que el enlace es seguro en la parte superior y el logotipo de Microsoft en la parte inferior.

Página fraudulenta con los supuestos documentos a descargar

Sin embargo, si se pulsa sobre ese botón accederemos a una nueva web en la cual se nos ofrecerá acceder a nuestra cuenta de OneDrive con las credenciales de varios servicios, entre los que se incluyen Google, Outlook, AOL, Yahoo, Office365 y otras cuentas de correo. La finalidad parece clara: robar las credenciales de acceso para venderlas, utilizar estas cuentas para enviar spam de forma masiva o para realizar ataques dirigidos a los contactos vinculados.

Sitio preparado por los delincuentes para robar las credenciales

Una vez introducidas las credenciales, los delincuentes proceden a redirigir a la víctima al sitio web legítimo del servicio que están intentando suplantar. De esta forma se evitan levantar sospechas entre los usuarios que solo verán como se les pide registrarse dos veces en lugar de solo una vez.

Web legítima perteneciente a Microsoft

Viéndole las costuras a la trampa

Acostumbrados como estamos a este tipo de trucos usados por los delincuentes, siempre intentamos analizar más a fondo cada uno de estos casos. En esta ocasión pudimos comprobar como los atacantes habían cometido algún fallo que podría permitir a un usuario atento detectar que se encontraba ante un engaño.

Para empezar, tal y como ya hemos indicado, la dirección de destino no tiene nada que ver con Microsoft y, de hecho, el dominio pertenece a una empresa que se dedica a producir conservas de pescado, tal y como podemos ver a continuación.

Web comprometida por los delincuentes para alojar el phishing

También hemos observado como, en algunos de los correos enviados, el enlace no estaba introducido correctamente y, en lugar de dirigir directamente a la web fraudulenta, nos reenvía a la carpeta utilizada por los delincuentes para alojar esta web maliciosa. Otro indicativo que debería de hacer sospechar hasta al usuario más despistado.

Conclusión

El caso que acabamos de comentar tiene bastantes similitudes con otros tantos que hemos analizado en los últimos años. Y es que los delincuentes siguen utilizando técnicas nada novedosas ni avanzadas porque saben que siguen funcionando bastante bien. Sin embargo, como usuarios, los mecanismos de defensa sí que ha ido evolucionado y, si las pistas que hemos indicado en este articulo para darse cuenta de que estamos ante un engaño no son suficientes, hay soluciones que nos ayudarán a poner en peligro nuestras credenciales.

La primera de ellas es contar con una solución de seguridad con módulo anti-phishing para que nos ayude a detectar este tipo de correos antes siquiera de abrirlos. La segunda solución es bastante recomendable y no es otra que utilizar el doble facto de autenticación en todos aquellos servicios que lo permitan. De esta forma nos aseguramos que, aun habiendo obtenido nuestras credenciales, nos delincuentes no podrán acceder a nuestra cuenta.

Josep Albors

Microsoft soluciona una peligrosa vulnerabilidad que permite la propagación de malware de forma automática