Desde hace varios meses venimos notando un aumento considerable de los intentos por parte de los delincuentes de obtener credenciales relacionadas con entornos corporativos. Ya sean credenciales de VPNs, acceso a escritorio remoto, servicios de correo, FTP o, como en este caso, cuentas de Microsoft, hemos visto usar varias técnicas para tratar de robarlas.
Un elaborado correo de phishing
Cuando hablamos de correos que suplantan la identidad de personas y empresas, un aspecto importante para tratar de ser lo más convincente posible es la elaboración del mensaje y lo creíble que sea el remitente. En esta ocasión nos encontramos ante un caso en el que los delincuentes han comprometido previamente cuentas de correo de una empresa real y están usándolas para enviar el mensaje a sus clientes y proveedores, llegando incluso a firmar estos correos con la fotografía y datos reales de algunos de sus empleados.
El correo que hemos analizado está bien redactado y ha sido enviado a varias direcciones de correo de una empresa proveedora con la esperanza de que algún empleado caiga en la trampa. En el cuerpo del mensaje se habla de una “propuesta de acuerdo” que no se encuentra adjunta al email, sino que ha sido alojada en un servicio externo.
Además, podemos ver que se indica también una fecha límite bastante próxima para así generar una sensación de urgencia en el receptor del mensaje. Así pues, tenemos un correo bien redactado que viene desde un contacto de confianza y que incluye una propuesta de negocio, algo que pasaría por válido en muchos departamentos comerciales y de administración.
Por si fuera poco, al provenir el correo de un remitente de confianza cuya cuenta ha sido previamente comprometida por los atacantes y no adjuntarse ningún fichero que pueda ser analizado, es probable que el filtro antispam no lo bloquee, puesto que no hay nada sospechoso en ese mensaje y el enlace redirige a un servicio legítimo de la empresa Adobe.
Engaño con la supuesta descarga de un PDF
La finalidad del mensaje anterior no es otra que la de conseguir que alguno de los receptores del email pulse sobre el enlace proporcionado. Si eso se produce, se accederá a una sencilla web generada en Adobe Spark con el logo de la empresa que ha sufrido el compromiso de alguna de sus cuentas de correo y la mención de la “Solicitud de propuesta de negocios Post COVID-19”.
También podemos observar cómo se nos muestra un botón desde el cual supuestamente se puede descargar esta propuesta en formato PDF. No obstante, esto no es más que el cebo usado por los delincuentes para redirigir a otra web donde se suplanta a Microsoft para tratar de obtener las credenciales de la cuenta del usuario que acceda a esta web fraudulenta.
Para alojar este intento de robo de cuentas de Microsoft los delincuentes han usado el servicio Backblaze de alojamiento en la nube. En el momento de escribir estas líneas, el enlace ya ha sido desactivado tras la pertinente denuncia por suplantación de identidad.
Desconocemos si algún usuario llegó a introducir sus credenciales de acceso a su cuenta Microsoft pero, de ser así, los delincuentes tendrían acceso, por ejemplo, a su cuenta de Exchange y podrían usarlo para robar información que se encuentre en sus correos o suplantar su identidad para tratar de seguir robando credenciales de otros empleados de su empresa o de alguno de sus clientes o proveedores.
Es probable incluso que este sea un caso de acceso inicial y la finalidad de este ataque sea el robo de información confidencial o incluso el cifrado de la misma por un ransomware. Por ese motivo hemos de ir con mucho cuidado con los mensajes no solicitados, incluso aunque provengan desde remitentes de confianza, intentando verificar la legitimidad de estos correos e implementando medidas adicionales de seguridad como el doble factor de autenticación que nos protejan incluso aunque las credenciales se hayan visto comprometidas.
Conclusión
Los ataques dirigidos a empresas que tratan de robar todo tipo de credenciales no han dejado de producirse desde hace bastantes meses, por lo que resulta esencial permanecer atentos a correos como el que acabamos de analizar e implementar capas adicionales de seguridad que dificulten la labor de los delincuentes, sin que esto resulte en un impacto en la usabilidad de los servicios necesarios para el correcto funcionamiento de la empresa.