La campaña se hace pasar por un software de asistencia para intentar robar las credenciales de la nube empresarial.
Una nueva campaña de phishing que se hace pasar por software de help desk para intentar robar las credenciales de acceso a los servicios de nube de las empresas, incluyendo Microsoft Azure, Microsoft Dynamics e IBM Cloud, ha sido observada en estado salvaje.
Como informó BleepingComputer, el medio de comunicación analizó recientemente los mensajes de phishing de la campaña para descubrir que utilizan una redacción similar a la de los servicios de asistencia de TI reales mientras que pretenden ser de un sitio llamado «servicedesk.com».
Los correos electrónicos utilizados en la campaña imitan una notificación de «correo en cuarentena», que son enviados por productos de seguridad y filtros de spam, y piden al destinatario que «libere» los mensajes atascados en la cola. Si bien la dirección que figura en el correo electrónico hace parecer que el mensaje proviene de «[email protected]», los atacantes en realidad enviaron sus mensajes de suplantación de identidad a través de «cn.trackhawk.pro», que servía de dominio intermediario.
En un esfuerzo por eludir más fácilmente los filtros de los correos electrónicos, el dominio del servicio de asistencia técnica se utiliza tanto en el encabezamiento de los correos electrónicos de phishing de la campaña como en el de los recibidos. Esto significa que los atacantes comprometieron los servidores de correo de servicedesk.com o bien inyectaron el texto «Received: form servicedesk.com» en el encabezado para que pareciera más creíble.
Servicios en la nube para empresas
Los ciberdelincuentes detrás de esta nueva campaña de phishing utilizaron IBM Cloud Hosting, Microsoft Azure y Microsoft Dynamics para alojar sus páginas de destino con el fin de hacerlas parecer más legítimas. Además, los dominios alojados en la nube de Azure o IBM también obtienen certificados SSL gratuitos que contienen los nombres de estas empresas, lo que también ayuda a mejorar la legitimidad de la campaña.
Después de abrir uno de estos correos electrónicos de phishing, el usuario verá dos botones etiquetados «LIBERAR MENSAJES» y «LIMPIAR NUBE». Cuando un usuario hace clic en uno de estos botones, los llevará a una URL legítima de Microsoft Dynamics 365. Esta URL luego los redirige a un dominio de la nube de IBM que se utiliza para alojar la página de aterrizaje de phishing.
Si un usuario introduce una contraseña débil, la página de aterrizaje le dará un error de «¡contraseña incorrecta!». Sin embargo, al introducir una contraseña larga y compleja, el usuario es redirigido a otra página falsa que confirma la actualización de la configuración del dominio de Azure, windows.net. Esta página maliciosa luego redirige al usuario a un sitio web llamado «axsharma.com».
Esta nueva campaña de phishing es particularmente peligrosa porque una vez que el usuario renuncia a sus credenciales de empresa en la nube, un atacante puede acceder a la red corporativa de su organización.